Datenschutz­woche

EDSB bestätigt datenschutzkonformen Einsatz von Microsoft 365 bei der EU-Kommission 

Der Europäische Datenschutzbeauftragte (EDSB) hat das Verfahren zur Nutzung von Microsoft 365 durch die EU-Kommission nun offiziell abgeschlossen. In seiner Entscheidung vom 8. März 2024 hatte er mehrere Datenschutzverstöße festgestellt und der Kommission konkrete Abhilfemaßnahmen auferlegt. Nachdem die Kommission die Umsetzung dieser Maßnahmen nachgewiesen hatte, bestätigte der EDSB am 11. Juli 2025 die vollständige Umsetzung der Vorgaben. Das Durchsetzungsverfahren wurde daraufhin eingestellt. 

Um dies zu erreichen, nahm die EU-Kommission tiefgreifende technische, organisatorische und vertragliche Anpassungen vor, um die datenschutzrechtlichen Anforderungen der Verordnung (EU) 2018/1725 zu erfüllen. Diese Verordnung regelt den Datenschutz für die Organe der EU. Sie überträgt das geltende Datenschutzrecht der DSGVO und der Richtlinie (EU) 2016/680 auf die supranationalen Einrichtungen der EU.

Die Kommission hat die verarbeiteten Datenarten und die Zwecke der Verarbeitung klar definiert und vertraglich, technisch sowie organisatorisch abgesichert. Microsoft und seine Unterauftragnehmer dürfen personenbezogene Daten nur auf dokumentierte Anweisung und für bestimmte Zwecke im öffentlichen Interesse verarbeiten. Übermittlungen außerhalb des EWR sind auf die im geänderten Vertrag aufgeführten Länder beschränkt und beruhen entweder auf Angemessenheitsbeschlüssen oder auf der Ausnahmeregelung aus wichtigen Gründen des öffentlichen Interesses gemäß Artikel 50 Absatz 1 Buchstabe d der Verordnung (EU) 2018/1725. 

Ein zentraler Kritikpunkt des EDSB war die potenzielle Intransparenz bei Offenlegungspflichten gegenüber Drittstaaten. Nun ist vertraglich klargestellt: Innerhalb des EWR dürfen personenbezogene Daten nur offengelegt oder ohne Benachrichtigung übermittelt werden, wenn dies ausdrücklich durch EU- oder nationales Recht verlangt wird. Im Falle außerhalb des EWR verarbeiteter Daten ist eine Übermittlung nur zulässig, wenn das Datenschutzrecht des Drittlands im Wesentlichen gleichwertig ist. Diese Regelungen werden durch flankierende Sicherheitsmaßnahmen in der Infrastruktur gestützt, etwa durch Zugriffsbeschränkungen, Verschlüsselung und Protokollierung.

Der Verfahrensabschluss stellt keine umfassende Bewertung aller Datenverarbeitungen der Kommission dar. Die Kommission stellt die Verbesserungen aus der interinstitutionellen Microsoft-Lizenz jedoch auch anderen EU-Einrichtungen zur Verfügung. 

EU-Kommission: Temu verstößt gegen den Digital Services Act

Die Europäische Kommission hat am 28. Juli 2025 vorläufig festgestellt, dass die Online-Plattform Temu gegen zentrale Vorgaben des Digital Services Act (DSA) verstoßen hat. Konkret geht es um die mangelhafte Risikobewertung im Hinblick auf die Verbreitung illegaler Produkte. Eine von der Kommission durchgeführte Testkaufanalyse ergab, dass Temu mit hoher Wahrscheinlichkeit nicht konforme Produkte wie Babyspielzeug oder Elektronik anbietet. 

Die Untersuchung zeigt, dass Temus Risikobericht aus dem Oktober 2024 ungenau war und sich auf allgemeine Branchendaten stützte, anstatt konkrete Gefahren innerhalb der eigenen Plattform zu analysieren. Dies könnte zu unzureichenden Maßnahmen gegen die Verbreitung illegaler Produkte geführt haben. Neben der Frage der Produktsicherheit untersucht die Kommission auch weitere mögliche DSA-Verstöße – darunter irreführende und süchtig machende Designpraktiken, mangelnde Transparenz der Empfehlungssysteme und die eingeschränkte Datenverfügbarkeit für Forschende. 

Temu kann nun Stellung zu den vorläufigen Ergebnissen nehmen. Sollten die Verstöße bestätigt werden, drohen dem Unternehmen Bußgelder von bis zu 6 % des weltweiten Jahresumsatzes sowie verpflichtende Maßnahmen zur Abhilfe.

Internationale Nachrichten

Spanien: Passend zur Urlaubssaison hat die spanische Datenschutzaufsichtsbehörde (AEPD) klargestellt, dass Unterkünfte keine Kopien der Ausweisdokumente ihrer Gäste verlangen dürfen. Dies verstoße gegen den Datenschutzgrundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO. Zwar verpflichtet das Königliche Dekret 933/2021 Anbieter dazu, bestimmte Gästedaten zu erheben, doch enthält eine Ausweiskopie mehr Daten, als gemäß den geltenden Vorschriften erforderlich sind, beispielsweise das Lichtbild, das Ablaufdatum, die Passnummer oder den Namen der Eltern. Darüber hinaus birgt die Kopie ein unnötiges Risiko für Identitätsdiebstahl. Zur Identitätsprüfung genügt laut AEPD das Ausfüllen eines Formulars (entweder vor Ort oder online) sowie eine Sichtkontrolle vor Ort oder eine sichere Online-Verifikation, etwa per Zertifikat oder SMS-Code.

Aktuelle Gerichtsentscheidungen

• LG Stuttgart, Urteil vom 24.03.2025, Az. 4 S 159/24 (juris): Immaterieller Schadenersatz – Die Beklagte hat die Wohnungsbilder der Klagenden veröffentlicht, ohne dass diese zuvor nachweislich eingewilligt hätten, wodurch ihnen ein Schaden entstanden ist, der die Zahlung einer Geldentschädigung in Höhe von jeweils 100 Euro rechtfertigt.
• LG Koblenz, Urteil vom 26.03.2025, Az. 8 O 271/22 (Volltext): Immaterieller Schadenersatz – Der Beklagte kann indes erfolgreich mit einem eigenen gegen den Kläger bestehenden Schadensersatzanspruch teilweise aufrechnen. Ein solcher Anspruch folgt aus Art. 82 DSGVO. Danach ist der Kläger als Unternehmer verpflichtet, sensible Daten gegen Datenschutzverletzungen zu sichern.
• AG Frankfurt, Urteil vom 08.05.2025, Az. 30087 C 102/24 (Volltext): Recht auf Auskunft – Die hier streitgegenständlichen Kontrolldaten sind von dem Auskunftsanspruch gemäß Art. 15 Abs. 1, 3 DSGVO im konkreten Fall nicht erfasst. Denn die Kontrolldatensätze müssen in der Auskunft nach Art. 15 DSGVO nur dann enthalten sein, wenn im Einzelfall auf Grund bestimmter Auffälligkeiten bei der Fahrkartenkontrolle der Kontrolldatensatz mit dem Buchungsdatensatz verglichen wurde. Nur in diesen Fällen sind die Daten einer bestimmten Person zugeordnet. Sofern keine Auffälligkeiten gegeben waren, erfolgt für den jeweiligen Kontrolldatensatz auch keine Zuordnung zu einer Person.
• BGH, Urteil vom 13.05.2025, Az. VI ZR 67/23 (Volltext): Immaterieller Schadenersatz – Zu den Anforderungen an die Darlegung eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO.
• OLG Dresden, Beschluss vom 16. Juni 2025, Az. 4 U 1664/24 (juris): Auskunftsanspruch – Auch der Auskunftsanspruch nach der DSGVO kann durch Erfüllung erlöschen, eine Vorlage an den EuGH ist wegen der Reichweite des nationalen Erfüllungsrechts auf Vorschriften des Unionsrechts nicht veranlasst.
• OLG Dresden, Beschluss vom 24.06.2025, Az.4 U 424/25 (juris): Immaterieller Schadenersatz – Ein zum Schadenersatz berechtigender Kontrollverlust wegen eines Datenschutzverstoßes des Anbieters eines sozialen Netzwerks kann ausgeschlossen sein, wenn der Betroffene die maßgeblichen Daten vor dem Vorfall bereits selbst im Internet öffentlich zugänglich gemacht hatte.
• VG Köln, Urteil vom 17.07.2025, Az. (Volltext): Facebook-Seite der Bundesregierung – Die gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art. 4 Nr. 7 Halbs. 1, Art. 26 Abs. 1 Satz 1 DSGVO setzt eine gemeinsame Festlegung von sowohl Zwecken als auch Mitteln der konkreten Datenverarbeitung voraus. Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die bloße Mitursächlichkeit des Verhaltens einer Person für eine Verarbeitung personenbezogener Daten genügt für die Annahme einer gemeinsamen Mittelfestlegung nicht.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Hamburg: „Frist zur Benennung von KI-Aufsicht abgelaufen: Fuchs fordert Bundesregierung zum Handeln auf“ – Pressemitteilung vom 31.07.2025
• Datenschutzaufsicht Hamburg: „KI-Verordnung nimmt Anbieter in die Pflicht“ – Pressemitteilung vom 31.07.2025
• Datenschutzaufsicht Niedersachsen: „Zahl der Datenschutzbeschwerden im ersten Halbjahr 2025 stark angestiegen“ – Pressemitteilung vom 31.07.2025
• Datenschutzaufsicht Baden-Württemberg: „Neue BIDIB-Schulungen nach der Sommerpause“ – Pressemitteilung vom 02.08.2025
• Datenschutzaufsicht Baden-Württemberg: „Übersicht Zugangsrechte neben dem Landesinformationsfreiheitsgesetz BW (LIFG)“ – Pressemitteilung vom 04.08.2025