Datenschutz­woche

EuG: EU-US Data Privacy Framework bestätigt

Das Gericht der Europäischen Union (EuG) hat am 3. September 2025 in der Rechtssache T-553/23 eine Nichtigkeitsklage gegen den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework abgewiesen. Der französische Abgeordnete Philippe Latombe hatte Zweifel an der Unabhängigkeit des neu geschaffenen Data Protection Review Court (DPRC) und Kritik an der Praxis der US-Nachrichtendienste bei der Erhebung personenbezogener Daten.

Das Gericht folgte Latombes Argumentation nicht und bestätigte mit seiner Entscheidung, dass die Vereinigten Staaten zum Zeitpunkt des Angemessenheitsbeschlusses im Jahr 2023 ein angemessenes Datenschutzniveau gewährleisteten. Die Unabhängigkeit des DPRC war zu diesem Zeitpunkt institutionell gesichert und auch die Datenerhebung erfüllte die vom EuGH im Urteil Schrems II formulierten Anforderungen. Nichtigkeitsklagen gemäß Art. 263 AEUV beziehen sich auf den Zeitpunkt des Erlasses des angefochtenen Klagegegenstands.

Zentral für die Entscheidung war die Bewertung des Data Protection Review Court (DPRC). Dieser wurde durch die Executive Order 14086 des damaligen Präsidenten Joe Biden eingerichtet. Nach Auffassung des Gerichts war dieses Gremium zumindest 2023 unabhängig und bot betroffenen Personen in der Europäischen Union wirksamen Rechtsschutz. Gegen die Entscheidung des Gerichts ist ein auf Rechtsfragen beschränktes Rechtsmittel zum EuGH möglich.

Der Angemessenheitsbeschluss zwischen den USA und Europa könnte in Zukunft wieder vermehrt Gegenstand von Vorabentscheidungsverfahren vor dem EuGH werden.

EuGH konkretisiert Personenbezug und Schadenersatz im Datenschutzrecht

Der Europäische Gerichtshof (EuGH) hat am 4. September 2025 in zwei Verfahren zentrale Fragen des Datenschutzrechts präzisiert.

Im Verfahren C-413/23 P entschied er über einen Rechtsstreit zwischen dem Europäischen Datenschutzbeauftragten (EDSB) und dem einheitlichen Abwicklungsausschuss (SRB), an dem auch der EDSA und die Kommission beteiligt waren. Dabei wurde der Begriff der personenbezogenen Daten konkretisiert. Demnach können auch pseudonymisierte Stellungnahmen, die persönliche Meinungen enthalten, personenbezogene Daten darstellen. Bei einer Weitergabe der Daten ist jedoch entscheidend, ob Empfänger die betroffene Person identifizieren können oder ob die Pseudonymisierung eine Identifizierbarkeit wirksam verhindert. Demnach sind pseudonymisierte Daten nicht in jedem Fall und für jede Person als personenbezogene Daten zu betrachten. Ob eine Identifizierbarkeit besteht, hängt von den Umständen ab. Maßgeblich ist die Sicht der Verantwortlichen zum Zeitpunkt der Erhebung. 

Die Informationspflicht ensteht bereits bei der Erhebung der personenbezogenen Daten und nicht erst bei deren späterer Pseudonymisierung und Weitergabe an Dritte. Die Pseudonymisierung entbindet nicht von dieser Pflicht.

In einem weiteren Verfahren (C-655/23) befasste sich der Gerichtshof mit Schadenersatzansprüchen nach der DSGVO. Er stellte klar, dass auch immaterielle Schäden, zum Beispiel negative Gefühle wie Sorge, Ärger oder Scham Schadenersatzansprüche begründen können, sofern ein ursächlicher Zusammenhang zu einem Datenschutzverstoß besteht.

Die Urteile gelten als richtungsweisend, da sie sowohl den Umgang mit pseudonymisierten Daten als auch die Schwelle für den Ersatz immaterieller Schäden in der Praxis präzisieren.

Internationale Nachrichten

• Brasilien: Das Freihandelsabkommen der EU mit den Mercusor-Staaten Argentinien, Brasilien, Paraguay und Uruguay, das nach 25 Jahren Verhandlungszeit die größte Freihandelszone der Welt schafft, steht vor der Ratifizierung. Parallel veröffentlichte die Europäische Kommission am 5. September einen Entwurf für einen Angemessenheitsbeschluss für Brasilien. Es wird erwartet, dass Brasilien im Gegenzug einen Beschluss zur Anerkennung der Angemessenheit der EU-Datenschutzverordnung (DSGVO) fasst, wodurch der Weg für vertrauenswürdige und nahtlose grenzüberschreitende Datenübertragungen zwischen der EU und Brasilien geebnet würde.
• Europäischer Datenschutzbeauftragter (EDPS): Der EDPS hat eine Umfrage zu Data Protection Impact Assessments (DPIAs) bei EU-Institutionen nach der Verordnung (EU) 2018/1725 (EUDPR) durchgeführt. Gem. Art. 39 EUDPR sind Organe und Einrichtungen der Union verpflichtet, ein DPIA durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
• Ziel der Erhebung war ein Fortschrittsvergleich zur EDPS-Umfrage 2020: Inzwischen führen die meisten EU-Einrichtungen DPIAs durch, zugleich verzeichnet der EDPS deutlich weniger Vorabkonsultationen als angesichts des dynamischen Verarbeitungsumfelds (u. a. KI) zu erwarten wäre. Inhaltlich identifiziert der Bericht wiederkehrende Qualitätsmängel: fehlende systematische Verfahrensbeschreibungen und Datenflussdiagramme, lückenhafte Prüfungen von Erforderlichkeit und Verhältnismäßigkeit, unzureichend dokumentierte DPO-Beteiligung sowie bisweilen unkritische Übernahme von DPIAs Dritter.
• Europäische Kommission: Die Europäische Kommission hat eine Konsultation gestartet, um Leitlinien und einen Verhaltenskodex zu den Transparenzpflichten für KI-Systeme nach der KI-Verordnung zu entwickeln. Ziel ist es, sicherzustellen, dass Nutzerinnen und Nutzer erkennen, wenn sie mit KI-Systemen interagieren oder KI-generierte bzw. -manipulierte Inhalte sehen. Die Konsultation richtet sich explizit an Unternehmen, Behörden und Forschungseinrichtungen. Bis zum 2. Oktober 2025 können Stellungnahmen eingereicht werden. Parallel läuft ein Call for Expressions of Interest, um interessierte Organisationen in die Ausarbeitung des Kodex einzubeziehen.

Aktuelle Gerichtsentscheidungen

• OLG Naumburg, Urteil vom 26.06.2025, Az. 9 U 88/23 (GRUR-RS 2025, 22453): Zeitlicher Anwendungsbereich – Der zeitliche Anwendungsbereich der DSGVO ist eröffnet, wenn sich aus dem gesamten Vorbringen einschließlich etwaiger Beschlüsse der irischen Datenschutzbehörde ergibt, dass der Datenschutzvorfall nach dem 25. Mai 2018 erfolgte.
• BGH, Urteil vom 29.07.2025, Az. VI ZR 426/24 (juris): Schadenersatz – Ein sich aus der Verletzung der unionsrechtlichen Bestimmungen zum Datenschutz ergebender Anspruch aus Art. 82 Abs. 1 DSGVO schließt Schadensersatzforderungen wegen Verstoßes gegen nationale Vorschriften nicht aus. Ein Anspruch auf Ersatz materieller oder immaterieller Schäden kann sich auch im Falle der uneingeschränkten Geltung der Datenschutzgrundverordnung unter dem Gesichtspunkt der Verletzung des allgemeinen Persönlichkeitsrechts ggf. zusätzlich aus § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG ergeben.
• OLG München, Beschluss vom 26.08.2025, Az. 18 W 677/25 Pre e (GRUR-RS 2025, 22097): Digitaler Dienst nach § 21 TDDDG – Ein E-Mail-Hosting-Dienst fällt als Betreiber eines interpersonellen Informationsdienstes in den Regelungsbereich für elektronische Kommunikationsdienste und ist damit nicht Anbieter eines digitalen Dienstes im Sinn des § 21 TDDDG, auf die allein sich die Auskunftspflicht nach Abs. 2 bis 4 dieser Vorschrift bezieht.
• EuG, Urteil vom 03.09.2025, Rs. T-553/23 (Volltext): Angemessenheitsbeschluss für die USA – Das Gericht weist die Klage auf Nichtigerklärung des neuen Rahmens für die Übermittlung personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten ab.
• EuGH, Urteil vom 03.09.2025, Rs. C‑413/23 P (Volltext): Personenbezogene Daten – Der Gerichtshof präzisiert die Bedeutung des Begriffs der personenbezogenen Daten im Zusammenhang mit der Übermittlung pseudonymisierter Daten an Dritte.
• EuGH, Urteil vom 03.09.2025, Rs. C‑655/23 (Volltext): Immaterieller Schadenersatz – Der Begriff „immaterieller Schaden“ in Art. 82 Abs. 1 DSGVO umfasst negative Gefühle, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie z. B. Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DSGVO empfindet.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Sachsen-Anhalt: „Drei Berichte – ein Blick: Was die Landesbeauftragte in den letzten Jahren bewegt hat“– Pressemitteilung vom 28.08.2025
• Datenschutzaufsicht Berlin: „Schulungen für Vereine, Start-ups und Kleinunternehmen“ – Pressemitteilung vom 01.09.2025
• Datenschutzaufsicht Sachsen: „Neue Informationsoffensive für besseren Schutz der eigenen Daten“ – Pressemitteilung vom 02.09.2025
• Datenschutzaufsicht Niedersachsen: „Medienkompetenz zum Schulstart – Datenschutz verständlich, konstruktiv und live“ – Pressemitteilung vom 03.09.2025
• Datenschutzaufsicht Baden-Württemberg: „Keber Quarterly: Videoüberwachung – Störgefühl von gestern und neues Normal?“– Pressemitteilung vom 03.09.2025
• Datenschutzaufsicht Berlin: „Digitalministerium will bei KI-Kontrolle Grundrechtsschutz schwächen“ – Pressemitteilung vom 04.09.2025
• Datenschutzaufsicht Mecklenburg-Vorpommern: „Scharfe Kritik von Deutschlands Datenschutzbeauftragten: Digitalministerium will bei KI-Kontrolle Grundrechtsschutz schwächen“ – Pressemitteilung vom 04.09.2025
• Datenschutzaufsicht Hamburg: „Wegweisende Entscheidung des EuGH zur Anonymisierung personenbezogener Daten“ – Pressemitteilung vom 04.09.2025
• Datenschutzaufsicht Mecklenburg-Vorpommern: „Schulstart: Erinnerungen festhalten und gleichzeitig Persönlichkeitsrechte und Datenschutz wahren“ – Pressemitteilung vom 05.09.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „EuGH zu „personenbezogene Daten“ und „Pseudonymisierung“ – wichtige Klarstellungen für Fachleute“ – Pressemitteilung vom 05.09.2025