Gemeinsam wollen wir wie in jedem Jahr in zwei Beiträgen auf das Jahr 2024 und die Ereignisse aus dem Datenschutzrecht und der Informationssicherheit zurückblicken. Beginnen wir unseren Jahresrückblick 2024 mit den Monaten Januar bis Juni.
Januar
Der Data Act – auch Datenverordnung – als ein Baustein der europäischen Datenstrategie wurde bereits im vergangenen Jahr durch den Rat der Europäischen Union verabschiedet und ist zum 11. Januar 2024 in Kraft getreten. Ähnlich wie beispielsweise bereits bei der DS-GVO gilt zunächst eine Übergangsfrist, sodass der Data Act erst ab dem 12. September 2025 vollumfänglich anzuwenden sein wird. Der Data Act zielt auf eine bessere Nutzung von Daten als Wirtschaftsgut sowie auf eine Förderung eines wettbewerbsfähigen Datenmarktes hin. Nutzerinnen und Nutzer von vernetzten Geräten und Produkten sollen darüber entscheiden können, wie mit dem gewonnenen Daten umzugehen ist, an deren Entstehung sie maßgeblich mitgewirkt haben.
Mit einem Blick auf Erwägungsgrund 7 zum Data Act wird schnell deutlich: Die Regelungen der DS-GVO bleiben durch den Data Act unberührt und beide Rechtsakte sind unabhängig voneinander anzuwenden. Zudem ist Erwägungsgrund 7 zum Data Act zu entnehmen, dass Verarbeitungen personenbezogener Daten zur Umsetzung der Anforderungen aus dem Data Act einer Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO und gegebenenfalls nach Art. 9 Abs. 2 DS-GVO erfordern. Hierbei ist jedoch zu beachten, dass der Data Act als solcher selbst keine Rechtsgrundlage zur Verarbeitung personenbezogener Daten darstellt.
Für den Fall, dass ein Nutzer im Sinne des Data Acts von einer betroffenen Person im Sinne der DS-GVO abweicht, schlägt Erwägungsgrund 7 zum Data Act die Anonymisierung personenbezogener Daten vor. Weiterführende Informationen zum Data Act und der DS-GVO gibt es hier.
In unserem Blog haben wir uns im Januar zudem mit noch einigen Ereignissen aus den Dezembertagen 2023 befasst. Zum Nachlesen gibt es die Berichte hier und hier. Darüber hinaus hat der Europäische Gerichtshof (EuGH) in einem Urteil vom 25. Januar 2025 (C‑687/21) entschieden, dass allein die anhaltende Sorge, die eigenen Daten könnten missbräuchlich verwendet werden, für einen immateriellen Schadensersatz nach Art. 82 DSGVO nicht ausreicht. Einen Beitrag zu diesem Urteil gibt es an anderer Stelle.
Februar
Für Furore sorgten in den Februartagen Beiträge in denen berichtet wurde, dass mehrere Millionen vernetzter Zahnbürsten durch Cyberkriminelle mittels Schadsoftware infiltriert wurden, um diese künftig für einen sogenannten DDoS-Angriff benutzen zu können. Wieviel an den Gerüchten dran war und was eigentlich DDoS-Angriffe sind, lesen Sie in unserem Beitrag zu diesem Thema.
März
Am 7. März 2024 befasste sich der EuGH mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten zu verstehen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen beziehungsweise Mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P). Außerdem adressierte der EuGH weitere Fragen rund um den Begriff der Verarbeitung nach Art. 4 Nr. 2 DS-GVO und wie dieser in bestimmten Situationen zu verstehen und anzuwenden sein soll (Rs. C-740/22). Zum Nachlesen gibt es hier und hier eine Zusammenfassung der Rechtsprechung.
In einem Urteil vom 15. März 2024 (Az. VI ZR 330/21) beschäftigte sich der Bundesgerichtshof (BGH) mit der Frage, was unter dem Begriff Kopie der personenbezogenen Daten zu verstehen ist. Bezüglich der Definition von personenbezogenen Daten verweist das Gericht auf die Rechtsprechung des EuGH, wonach der Begriff personenbezogene Daten weit zu verstehen ist. Der Begriff umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, vorausgesetzt, dass es sich um Informationen über die in Rede stehende Person handelt.
In dem Urteil stell der BGH klar, dass Art. 15 Abs. 1 DS-GVO betroffenen Personen ein Auskunftsrecht über die Verarbeitung personenbezogener Daten gibt. Art. 15 Abs. 3 DS-GVO legt die Modalitäten für die Erfüllung des Auskunftsersuchens fest, indem er unter anderem die Form, in der die Daten zur Verfügung zu stellen sind, regelt, nämlich als Kopie der Daten, ohne jedoch ein anderes Recht zu gewähren als das, was Art. 15 Abs. 1 DS-GVO vorsieht. Mehr zu diesem Urteil gibt es in einem Blog-Beitrag.
April
Mit Urteil vom 10. April 2024 (Az. 12 Sa 1007/23) hatte sich das Landesarbeitsgericht (LAG) Düsseldorf mit der Frage auseinanderzusetzen, ob die Durchführung einer Google-Recherche zur Überprüfung der Eignung des Bewerbers datenschutzrechtlich zulässig ist. Hierbei stellte das Gericht klar, dass unter bestimmten Voraussetzungen eine Hintergrundrecherche zur Person des Bewerbers möglich sein kann, sprach dem erfolglosen Bewerber dennoch einen immateriellen Schadenersatz in Höhe von 1.000 Euro zu.
Das LAG Düsseldorf führte aus, dass die Durchführung einer Google-Recherche im Rahmen eines Bewerbungsverfahrens unter bestimmten Voraussetzungen datenschutzrechtlich zulässig sein kann. In Betracht kommt insbesondere Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO. Weiterhin stellte das Gericht fest, dass die öffentliche Stelle versäumt hatte, den Bewerber ausreichend über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 14 DS-GVO zu informieren. Den vollständigen Beitrag aus unserem Blog gibt es hier.
Der EuGH wiederrum hat sich in seinem Urteil vom 11. April 2024 (Rs. C-741/21) unter anderem mit der Frage des Exzesses der Beschäftigten im Rahmen des Schadenersatzanspruchs des Art. 82 DS-GVO befasst. Das Urteil haben wir ebenfalls in einem Blog-Beitrag näher betrachtet. Der EuGH formuliert mit dem Urteil strenge Anforderungen an die Möglichkeit zur Exkulpation für die verantwortlichen Stellen im Rahmen des Art. 82 Abs. 3 DS-GVO, insofern es sich um eine Konstellation eines Mitarbeiterexzesses handelt.
Ein bloßer Verweis auf die gegenüber den Beschäftigten erteilten Weisungen bzw. die Weisungswidrigkeit der Handlung der betroffenen Beschäftigten genügt nicht. Dies gilt gleichwohl für einen Verweis auf bestehende Datenschutzbestimmungen innerhalb der verantwortlichen Stelle, z.B. in Form einer Policy bzw. Richtlinie zum Datenschutz. Es bedarf vielmehr des konkreten Nachweises, dass zwischen dem bestehenden Verstoß gegen die Datenschutz-Grundverordnung und dem Handeln des Mitarbeiters kein Kausalzusammenhang besteht. Von den Fragen der Haftung nach Art. 82 DS-GVO gegenüber der betroffenen Person unberührt bleiben im Innenverhältnis zwischen verantwortlicher Stelle und Beschäftigten natürlich arbeits- bzw. dienstrechtliche Ausgestaltungen sowie etwaige Maßnahmen der jeweils zuständigen Datenschutzaufsichtsbehörde.
MAI
Am 7. und 8. Mai fand der 20. Deutsche IT-Sicherheitskongress statt. Motto des diesjährigen Kongresses war „Cybernation Deutschland: Kooperation gewinnt“. Unter dem Thema Vision: Wir bauen gemeinsam die Cybernation Deutschland nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Aufgaben und Verantwortungen als integraler Bestandteil der Cybersicherheitsarchitektur wahr und arbeitet mit zahlreichen Kooperationspartnern zusammen. Im Block „Management von Informationssicherheit“ war dieses Jahr auch das Dresdner Institut für Datenschutz mit einem Vortrag zum Thema „Die Erforderlichkeit zur Prüfung von Dienstleistern aus Sicht der Informationssicherheit“ vertreten. Den gesamten Beitrag gibt es zum Nachlesen im Tagungsband zum Kongress.
Am 14. Mai 2024 ist in Deutschland das Digitale-Dienste-Gesetz (DDG) in Kraft getreten, welches die Anforderungen des europäischen Digital Services Act (DSA) in nationales Recht umsetzt. Eine wesentliche Änderung: Die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz (TMG) wird so das Digitale-Dienste-Gesetz und aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Betreiber von Internetseiten müssen im Zusammenhang mit der Pflicht zur Bereitstellung eines Impressums die dortigen Formulierungen überprüfen. Wurde im Rahmen der Anbieterkennzeichnungen bislang auf § 5 TMG verwiesen, ist dieser Verweis nun auf § 5 DDG anzupassen. Zudem kann die Gelegenheit genutzt und beispielsweise die Datenschutzinformation grundsätzlich auf Aktualität geprüft werden.
Juni
Im Juni führte die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) eine größere Prüfkampagne bei Internetpräsenzen von nicht-öffentlichen und öffentlichen Stellen im Freistaat Sachen durch. Wie mit der Pressemitteilung vom 13. Juni 2024 bekannt wurde, hat diese etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrolliert. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Die betroffenen Stellen werden aufgefordert, die Nutzung von Google Analytics konform auszugestalten sowie die bis zum Zeitpunkt der Umstellung rechtswidrig verarbeiteten personenbezogenen Daten zu löschen. Mittlerweile hat die SDTB die konkreten Zahlen zum Prüfverfahren veröffentlicht. Infolge der Prüfung haben über 1.500 Website-Betreiber und -Betreiberinnen ihrer Seiten nachgebessert.
… und am Jahresende geht es weiter mit unserem Jahresrückblick mit den Monaten Juli bis Dezember 2024!
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.