Datenschutz­woche

#181

DPC: Hohes Bußgeld gegen TikTok

Die irische Datenschutzaufsichtsbehörde (DPC) hat am 2. Mai 2025 ein Bußgeld in Höhe von 530 Millionen Euro gegen TikTok Technology Limited verhängt. Die vorangegangene Untersuchung war zu dem Schluss gekommen, dass TikTok den Schutz der Daten von Nutzenden aus EU-Ländern auf einem mit der DSGVO vergleichbaren Niveau nicht gewährleisten kann. TikTok erklärte in einer Stellungnahme, niemals Anfragen chinesischer Behörden zu europäischen Nutzendendaten erhalten oder personenbezogene Daten weitergegeben zu haben. Das Unternehmen sei mit der Entscheidung des DPC nicht einverstanden und werde alle rechtlichen Mittel ausschöpfen. 

Obwohl TikTok im Laufe des Verfahrens zugab, personenbezogene Daten nach China übermittelt zu haben, schreibt das Unternehmen auf einer FAQ-Seite, auf der es mit den über TikTok kursierenden Falschinformationen aufräumen will: „TikTok’s user data is stored securely in the US, Singapore and Malaysia, not China.“

HmbBfDI veröffentlicht Handreichung zum Data Act

Ab dem 12. September 2025 verpflichtet der Data Act (deutsch: Datengesetz) Hersteller internetfähiger Geräte, die von vernetzten Geräten gesendeten Daten auch mit Dritten zu teilen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) weist in einer aktuellen Handreichung auf potentielle Konflikte mit dem geltendem Datenschutzrecht hin. 

Das Datengesetz soll die Weitergabe der anfallenden Daten an Dritte, zum Beispiel auch Werkstätten, Ersatzteilhersteller und Forschende regeln. Laut der Handreichung führt diese Verpflichtung in der Praxis zu Unsicherheiten in Unternehmen, etwa bei Prozessen, Vertragsgestaltungen und dem internen Datenumgang. 

Unternehmen und Behörden müssen sich nun der herausfordernden Aufgabe stellen, den Zugang zu Daten zu gewähren und dabei die Datenschutzbestimmungen einzuhalten. Unternehmen, die vom Data Act betroffen sind, sollten sich frühzeitig mit den neuen Zugangsrechten und Schutzmaßnahmen für personenbezogene Daten und Geschäftsgeheimnisse befassen. Auch Datenschutzaufsichtsbehörden müssen sich auf neue Prüf- und Kontrollbefugnisse vorbereiten, um den rechtlichen Rahmen künftig angemessen umzusetzen.

Internationale Nachrichten

  • Polen: Die polnische Datenschutzaufsichtsbehörde Urząd Ochrony Danych Osobowych (UODO) hat Bußgelder in Höhe von 6,44 Millionen Euro gegen die polnische Post verhängt. Grund ist ein Verstoß gegen Art. 6 Abs. 3 DSGVO. Zur Vorbereitung einer später abgesagten Briefwahl während der Covid-19-Pandemie im Jahr 2020 waren personenbezogene Daten von rund 30 Millionen polnischen Wahlberechtigten ohne Rechtsgrundlage verarbeitet worden. Auch der damals amtierende Minister für Digitales, der die Briefwahl initial genehmigt und die Datenübermittlung ermöglicht hatte, muss rund 24.000 Euro Bußgeld zahlen.
  • Großbritannien: Zwei große britische Einzelhandelsunternehmen, „Marks & Spencer“ sowie die „Co-operative Group“ waren vor zwei Wochen Opfer eines großen Cyberangriffs geworden. Nun haben die Datenschutzaufsichtsbehörde und das Nationale Cybersicherheitszentrum Stellungnahmen veröffentlicht. Der CEO des National Cyber Security Centre forderte alle Führungskräfte auf, sicherzustellen, dass sie über geeignete Maßnahmen verfügen, um Angriffe zu verhindern und effektiv darauf reagieren zu können.
  • Frankreich: Die französische Datenschutzbehörde CNIL hat ihren Jahresbericht 2024 mit den Schwerpunkten Datenschutzaufsicht, Cybersicherheit und künstliche Intelligenz veröffentlicht. Es wurden 331 Abhilfemaßnahmen und 87 Sanktionen mit Bußgeldern in Höhe von insgesamt mehr als 55 Millionen Euro verhängt. Im Berichtsjahr 2024 wurden der CNIL 5.629 Verstöße gegen den Schutz personenbezogener Daten gemeldet, 20 % mehr als im Jahr 2023. Darüber hinaus wurden 17.772 Beschwerden registriert, die sich hauptsächlich auf digitale Dienste bezogen.

Aktuelle Gerichtsentscheidungen

  • ArbG Düsseldorf, Urteil vom 04.12.2024, Az. 8 Ca 3409/24 (juris): Immaterieller Schadenersatz – Die Beklagte hat gegen die Datenschutzgrundverordnung verstoßen, indem sie dem Kläger die geforderte Auskunft nach Art. 15 Abs. 1 DSGVO nicht nur nicht fristgerecht, sondern gar nicht erteilte. [...] Unter Zugrundelegung der vorstehenden Grundsätze ist die Kammer zu der Ansicht gelangt, dass dem Kläger durch den Verstoß der Beklagten gegen die DSGVO in Gestalt der Nichterteilung der Auskunft nach Art. 15 Abs. 1 DSGVO ein Schaden in Form des Kontrollverlustes entstanden ist. [...] Der Höhe nach erscheint der Kammer ein Schadensersatz in Höhe von 750,00 EUR angemessen.
  • LAG Hamburg, Urteil vom 15.01.2025, Az. 2 Sa 21/23 (BeckRS 2025, 7890): Immaterieller Schadenersatz – Ein immaterieller Schaden kann nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden [...] Ebenso wenig genügen die sonstigen Ausführungen des Klägers zur Darlegung eines immateriellen Schadens, wenn er auf „emotionales Ungemach“ und „Genervtsein“ verweist. Hierbei handelt es sich, wie bereits das Arbeitsgericht zutreffend erkannt hatte, um bloße Schlagworte ohne inhaltliche Substanz.
  • Hanseatisches OLG Hamburg, Urteil vom 27.02.2025, Az. 5 U 30/24 (juris): Keine Pflicht zum Gastzugang – Zwischen einer Bestellung mit und einer Bestellung ohne Kundenkonto bestehen hinsichtlich der Verarbeitung personenbezogener Daten praktisch keine Unterschiede. In beiden Fällen ist die Erhebung und Speicherung einer Vielzahl von Daten zulässig. Hinsichtlich dieser Daten bestehen unternehmensseitig in beiden Fällen identische gesetzliche Rechte bzw. Pflichten zur Aufbewahrung, die je nach Art der Daten einen Zeitraum von drei bis zehn Jahren umfassen. Der wesentliche Unterschied ist die Möglichkeit eines passwortgeschützten Zugangs zu diesen Daten. Bestehen im Einzelfall Bedenken hiergegen, so kann dieser Zugang mit einem entsprechenden Löschungsantrag beseitigt werden; eine regelhafte Löschung erfolgt automatisch nach Ablauf der zivilrechtlichen Verjährungsfrist.
  • LAG Hessen, Beschluss vom 10.03.2025, Az. 16 TaBV 109/24 (juris): Ausschluss aus dem Betriebsrat – Es bestand gerade keine Verpflichtung zur Weiterleitung der personenbezogenen Daten an den privaten E-Mail-Account des Betriebsratsvorsitzenden. Dies auch nicht im Hinblick auf die Vorbereitung der abzuschließenden Betriebsvereinbarung. [...] Damit steht fest, dass der Betriebsratsvorsitzende mit der Weiterleitung der personenbezogenen (insbesondere Entgelt-) Daten an seinen privaten E-Mail-Account gegen die ihm aus § 79a S. 1 BetrVG obliegenden Pflichten bei der Verarbeitung personenbezogener Daten verstoßen hat.
  • EuGH, Urteil vom 30.04.2025, Rs. C-313/23 (Volltext): Datenverarbeitung durch die Justiz – Die Offenlegung von personenbezogenen Daten gegenüber einem Justizorgan fällt in den sachlichen Anwendungsbereich der DSGVO, wenn diese Daten dem Bankgeheimnis unterliegen und Richter, Staatsanwälte, Strafrechtspfleger sowie ihre Familienangehörigen betreffen, und die Offenlegung der Überprüfung der Erklärungen der Richter, Staatsanwälte und Strafrechtspfleger über ihre Vermögensverhältnisse und die ihrer Familienangehörigen, die veröffentlicht werden, dient.

Neuigkeiten aus den Aufsichtsbehörden: