Datenschutz­woche

EDSA für mehr Kohärenz und Zusammenarbeit bei der DSGVO-Umsetzung

Der Europäische Datenschutzausschuss (EDSA) begrüßt in einer Stellungnahme den zweiten Bericht der Europäischen Kommission zur Anwendung der DSGVO. Es sei gelungen, den Einzelnen mehr Kontrolle über ihre personenbezogenen Daten zu geben und gleichzeitig faire Wettbewerbsbedingungen für Unternehmen zu schaffen. Die DSGVO habe auch die Entwicklung internationaler Datenschutzstandards gefördert. Dennoch bestünden weiterhin Herausforderungen.

Die Stellungnahme betont die Notwendigkeit von Rechtssicherheit und einer kohärenten Anwendung digitaler Rechtsvorschriften, insbesondere im Zusammenspiel mit der KI-Verordnung. Zudem fordert der EDSA einen harmonisierten Regulierungsansatz und eine intensivere Zusammenarbeit der Aufsichtsbehörden bei der Durchsetzung der DSGVO. Gleichzeitig plädiert er für eine bessere finanzielle und personelle Ausstattung der Datenschutzaufsichtsbehörden, um den wachsenden Anforderungen gerecht zu werden. Ein weiteres strategisches Ziel sei es, Leitlinien und Orientierungshilfen breiten Nutzergruppen zugänglich zu machen, um die praktische Anwendung der DSGVO zu erleichtern.

Scraping-Urteil: Verbraucherzentrale plant Sammelklage gegen Meta

Die Scraping-Entscheidung des Bundesgerichtshofs (BGH), Az. VI ZR 10/24, zeigt erste Auswirkungen. Nachdem Unbekannte 2021 Daten von Facebook-Nutzern veröffentlicht hatten, stellte der BGH klar, dass bereits der Verlust der Kontrolle über personenbezogene Daten ausreicht, um Schadensersatz zu fordern. Zuvor war lange umstritten, ob Betroffene nachweisen müssen, dass sie durch den Datenverlust in besonderer Weise beeinträchtigt wurden.

Der Verbraucherzentrale Bundesverband plant nun eine Musterfeststellungsklage gegen den Facebook-Konzern Meta. Verbraucherinnen und Verbraucher können sich dieser anschließen, um ihre Ansprüche vor der drohenden Verjährung zum Jahreswechsel zu sichern. Der BGH hält einen Betrag von etwa 100 Euro als Schadensersatz für angemessen.

Internationale Nachrichten

• Finnland: Die finnische Aufsichtsbehörde hat ein Bußgeld in Höhe von 2,4 Millionen Euro gegen das Unternehmen Posti wegen der automatischen Erstellung eines elektronischen Postfachs ohne Zustimmung der Kunden verhängt.
• Europa: Auf seiner Plenarsitzung vom 3. Dezember hat der EDSA Leitlinien zu Art. 48 DSGVO über die Übermittlung von Daten an Behörden in Drittländern veröffentlicht. Die öffentliche Konsultation läuft noch bis zum 27. Januar.
• Europa: Die Verordnung (EU) 2018/1725 (Verordnung über den Datenschutz für die Organe, Einrichtungen und sonstigen Stellen der EU) wurde berichtigt, indem in Artikel 29 Abs. 3 lit. a  ein bis dahin fehlendes Verb ergänzt wurde. (Ursprünglich war hier fälschlich von einer Korrektur der DSGVO berichtet worden, Anm. d. Red.)

Aktuelle Gerichtsentscheidungen:

• BSG, Urteil vom 24.09.2024, Az. B 7 AS 15/23 R (BeckRS 2024, 33319), Schadenersatz bei verspäteter Auskunft: Ein Verstoß gegen die Rechte des Klägers durch die verspätete Erfüllung des Auskunftsverlangens stellt gleichermaßen einen Verstoß bei der Verarbeitung von Daten im Sinne des Art. 82 Abs. 1 DSGVO dar. [...] Ein ersatzfähiger Schaden ist dem Kläger indes nicht entstanden. [...] Unter einem Kontrollverlust versteht der EuGH dabei allerdings nur eine Situation, in der die betroffene Person die begründete Befürchtung hegt, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten genügt dafür nicht.
• BVerwG, Urteil vom 25.09.2024, Az. 6 A 3.22 (VollteASxt), Auskunft gegenüber dem Bundesnachrichtendienst: Der Anspruch eines Betroffenen auf Auskunft über gespeicherte personenbezogene Daten gegenüber dem Bundesnachrichtendienst ist erfüllt, wenn der Betroffene anhand der erteilten Auskunft erkennen kann, was der Bundesnachrichtendienst über ihn weiß, und in die Lage versetzt wird, gegen eine nach seiner Einschätzung rechtswidrige Datenverarbeitung gegebenenfalls gerichtlichen Rechtsschutz suchen zu können.
• LAG Niedersachsen, Beschluss vom 01.10.2024, Az. 11 TaBV 19/24 (juris), Beschäftigtendatenschutz: Der Betriebsrat hat nach § 94 Abs. 1 BetrVG mitzubestimmen, wenn der Arbeitgeber zur Aufklärung von Straftaten im Betrieb in einem standardisierten Fragebogen personenbezogene Fragen nach dem Verhalten stellt, die objektiv Rückschlüsse auf die Eignung der Beschäftigten zulassen.
• OLG Düsseldorf, Urteil vom 31.10.2024, Az. 20 U 51/24 (Volltext), Übermittlung von Positivdaten: Die Übermittlung von Positivdaten zur Betrugsprävention und zur Aufrechterhaltung eines zuverlässigen Scoring-Systems stellt ein berechtigtes Interesse der Beklagten dar und ist nach Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt. Die Interessen der betroffenen Personen überwiegen nicht, da die Übermittlung der Daten nur geringfügige Auswirkungen hat und keine sensiblen Informationen betrifft.
• OLG Hamm, Urteil vom 05.11.2024, Az. I-3 O 163/23 (GRUR-RS 2024, 33926), Schadenersatz wegen Scraping: Im vorliegenden Einzelfall scheitert ein Anspruch daran, dass die Klägerin einen Kontrollverlust – wenn auch pauschal – zwar ausreichend dargelegt (vgl. BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, Rn. 41), aber nicht bewiesen hat.
• AG Bonn, Urteil vom 20.11.2024, Az. 5 Ca 663/24 (Volltext), Haftung von Betriebsratsmitgliedern für Datenschutzverstöße: Handelt ein Betriebsratsmitglied zur Unterstützung bei Führung einer individuellen Beschwerde gemäß § 84 Abs. 1 Satz 2 BetrVG, weist § 79 a Satz 2 BetrVG die datenschutzrechtliche Verantwortlichkeit dem Arbeitgeber zu. Ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO gegen das Betriebsratsmitglied ist in diesem Fall ausgeschlossen.
• EuGH, Urteil vom 28.11.2024, Rs. C-169/23 (Volltext), Datenschutzinformation: Art. 14 Abs. 5 Buchst. c) DSGVO ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme von der Pflicht des Verantwortlichen zur Information der betroffenen Person unterschiedslos alle personenbezogenen Daten betrifft, die der Verantwortliche nicht unmittelbar bei der betroffenen Person erhoben hat. Dies gilt unabhängig davon, ob der Verantwortliche diese Daten von einer anderen Person als der betroffenen Person erlangt hat oder ob er selbst sie im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.
• AG Brandenburg, Urteil vom 05.12.2024, Az. 30 C 190/22 (juris), Videoüberwachung: Der für eine (Video-)Kamera Verantwortliche muss nachweisen, dass die Verarbeitung der Videoaufnahmen den Grundsätzen der DSGVO entspricht. Eine betroffene Person muss nicht nachweisen, dass der Verantwortliche nicht rechtmäßig gehandelt hat.

Neues aus den Aufsichtsbehörden:

• Datenschutzaufsicht Nordrhein-Westfalen: „Online-Glücksspieler*innen fluten Datenschutzbehörden mit Beschwerden gegen Unternehmen aus dem Ausland“ – Pressemitteilung vom 04.12.2024
• Datenschutzaufsicht Sachsen: „Orientierungshilfe zu ausgewählten Fragestellungen des neuen Onlinezugangsgesetzes (OZG)“ – Pressemitteilung vom 06.12.2024