Europäischer Gerichtshof – DID | Dresdner Institut für Datenschutz

Der Jahresrückblick 2025 Teil I

Alexander Weidenhammer — Mon, 15 Dec 2025 09:00:00 +0000

„Alle Jahre wieder…“ – So beginnt eines der wohl schönsten und bekanntesten Kinderweihnachtslieder. Außerdem ist es mittlerweile auch gute Tradition geworden, dass wir im Dezember einen kurzen Rückblick auf das vergangene Jahr werfen, also eben auch alle Jahre wieder. Im ersten Teil unseres Jahresrückblick 2025 wollen wir uns den Monaten Januar bis Juni 2025 widmen. Neben unseren Einzelbeiträgen spazieren wir natürlich über das gesamte Jahr hinweg durch die Datenschutz-Grundverordnung.

Januar

In den ersten Januartagen des Jahres sorgten allem vorab zwei Urteile für Aufsehen. In seinem Urteil vom 8. Januar 2025 hat das Gericht der Europäischen Union (EuG) die Europäische Kommission aufgrund einer rechtswidrigen Datenübermittlung in die USA (konkret an Amazon Web Services – AWS) zu einem Schadenersatz in Höhe von 400€ verurteilt (Rs. T-354/22). Zudem beschäftigte sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 9. Januar 2025 (Rs. C-394/23) mit dem berechtigten Interesse nach Abwägung (Art. 6 Abs. 1 UAbs. 1 lit f) DS-GVO) sowie mit den Anschlussfragen, in welchem Umfang über die Interessenabwägung informiert werden muss und welche Auswirkungen eine fehlende Information auf die Datenverarbeitung hat. Mit dem zweiten Urteil haben wir uns hier auseinandergesetzt.

Während die Evaluierung der Datenschutz-Grundverordnung noch auf sich warten lässt, gab es bereits eine Reform des Datenschutzes der evangelischen Kirche, über die wir berichtet haben. Allerdings sei noch erwähnt, dass die EKD-Synode bereits im November 2024 beschlossen und mit Wirkung zum 1. Mai 2025 ihre Wirkung entfaltet hat.

Abseits von den inhaltlichen Themen war im Januar dieses Jahres für die Datenschutzwelt vor allem das Ableben von Jürgen Taeger ein zentrales und trauriges Thema. Wir haben in unserem Block ebenfalls einen Nachruf verfasst.

Februar

Im Februar gab es mal wieder Anlass sich mit den Fragen rund um Datentransfers in die USA und konkret mit dem EU-U.S. Data Privacy Framework hier und hier zu beschäftigten. Daneben spielte auch der Evergreen, die E-Mail-Verschlüsselung eine Rolle. Schuld ist das Urteil des Oberlandesgericht (OLG) Schleswig-Holstein vom 18. Dezember 2024 (Az. 12 U 9/24). Das OLG entschied in der Sache, dass die Sicherheitsmaßnahmen (hier: Transportverschlüsselung) nicht für den konkreten Fall der E-Mail-Kommunikation angemessen und ausreichend gewesen sei. Alles zum Nachlesen in unserem Beitrag.

März

Wie derzeit die Politik, beschäftigen auch wir uns mit der Rolle des Datenschutzbeauftragten (DSB). In unserem ersten Beitrag widmen wir uns der Vertraulichkeit des DSB. Hintergrund: Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Doch was bedeutet das konkret? Die Antwort gibt es hier. Anschließend gehen auch wir der Frage nach: Was wird aus der Pflicht zur Benennung eines Datenschutzbeauftragten? Die Frage ist für die Umsetzung des Datenschutzrechtes in den verantwortlichen Stellen äußert praxisrelevant.

Die Informationssicherheit kommt bei uns keines Falles zu kurz. Wir befassen uns mit den Anforderungen der Informationssicherheit auf Auslandsreisen und setzen uns mit dem Fakt auseinander, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) nunmehr als Zertifizierungsstelle nach dem (Rechtsakt zur Cybersicherheit), auch „Cybersecurity Act“ (CSA) fungiert.

In einem weiteren Beitrag betrachten wir eine Schnittstelle zwischen IT-Sicherheit und Datenschutz, konkret welche Erlaubnisnorm trägt, wenn die Umsetzung technischer und organisatorischer Maßnahmen – z. B. nach der NIS-2-Richtlinie – die Verarbeitung personenbezogener Daten fordert. Außerdem hat auch die Sächsische Datenschutz-Aufsichtsbehörde ihren Tätigkeitsbericht für das Jahr 2024 im März veröffentlicht, welchen wir natürlich auch in einem Beitrag betrachtet haben.

April

Im April knüpfen wir an das Thema der Verarbeitung personenbezogener Daten zur Sicherstellung von IT-Sicherheit bzw. Datensicherheit an. Dieses Mal richten wir mit unserem Beitrag den Blick auf Art. 32 DS-GVO.

Wie eingangs bereits angeteasert steht auch eine Reform der Datenschutz-Grundverordnung in Rede. Mit Blick auf die lange Entstehungsgeschichte, wurde in Fachkreisen immer wieder spekuliert, die Europäische Kommission habe in Bezug auf die DS-GVO Angst, die Büchse der Pandora zu öffnen. Doch zwischenzeitlich scheint die Europäische Kommission erkannt zu haben, dass die fortschreitende Digitalregulierung in der Europäischen Union sich zu einem Standortproblem entwickeln könnte. Dass die DS-GVO in den kommenden Jahren eine Anpassung erfährt, wird demnach immer wahrscheinlicher.

Mai

In Fortsetzung der Beiträge aus März und April befassen wir uns auch im Mai mit dem Thema der Sicherheitsanforderungen als Rechtspflicht, der Beitrag befasst sich mit weitergehenden Fragen rund um Art. 32 DS-GVO. Ebenso schauen wir bei Art. 6 Abs. 1 DS-GVO schauen wir einmal genauer hin und fragen uns: Was steht eigentlich in Art. 6 Abs. 1 UAbs. 2 DS-GVO? Diese Norm kann ebenfalls Auswirkungen im Bereich IT- und Cybersicherheit für öffentliche Stellen bzw. Behörden haben.

Juni

Ein anderes datenschutzrechtlich sehr bedeutsames und für die Praxis relevantes Thema adressieren wir im Juni: Anforderungen bei dem Einsatz von KI-Systemen – in einem ersten Beitrag „Datenschutzrechtliche Transparenzanforderungen bei Nutzung von KI“. Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung.

Eine weitere für die Praxis bedeutende Norm ist Art. 82 DS-GVO. Hier wird der datenschutzrechtliche Schadenersatzanspruch normiert. So kann es möglicherweise Schadenersatz wegen verspäteter Auskunftserteilung geben.

Last but not least widmet sich ein Beitrag einem Urteil zu Cookie-Banner und Google Tag Manager des Verwaltungsgerichtes Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22). In dem Urteil trifft das Gericht konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager.

… und in der kommenden Woche geht es weiter mit unserem Jahresrückblick mit den Monaten Juli bis Dezember 2025!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Es lebe der relative Personenbezug!

Alexander Weidenhammer — Mon, 15 Sep 2025 08:00:00 +0000

Einen Tag nach dem von uns bereits besprochenen Urteil des Gerichtes der Europäischen Union (EuG) in der Rechtssache T-553/23 und der (vorläufigen) Entscheidung über den Fortbestand des Data Privacy Framework, ist auch beim Europäischen Gerichtshof (EuGH) eine für das Datenschutzrecht bedeutende Entscheidung gefallen. Mit der Entscheidung in der Rechtssache C-413/23 P hat sich der EuGH mit dem Begriff der personenbezogenen Daten befasst. Inhalt und Bedeutung des Urteils wollen wir im heutigen Beitrag näher beleuchten.

Der EuGH und der Personenbezug

First at all ist das aktuelle Urteil des EuGH nicht die erste Entscheidung in der jüngeren Datenschutzvergangenheit, welche sich mit dem Vorliegen und den Voraussetzungen des Personenbezuges auseinandersetzt.

Der EuGH selbst hat sich in seinem Urteil vom 9. November 2023 (Rs. C-319/22) mit dem Begriff der personenbezogenen Daten beschäftigt. Konkret klärt der EuGH anhand der sogenannten Fahrzeug-Identifizierungsnummer (FIN) die Personenbeziehbarkeit einer Information. In zwei weiteren Entscheidungen vom 7. März 2024 befasst sich der EuGH wiederrum mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten einzuordnen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen bzw. Mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P).

In diesen Entscheidungskanon reiht sich auch das Urteil des EuG vom 26. April 2023 (Rs. T-557/20), in welchem sich das Gericht zudem mit den Begriffen der pseudonymen und anonymen Daten auseinandersetzt, ein. Das Urteil haben wir zwar bereits im Rahmen eines separaten Beitrages näher beleuchtet, zum besseren Verständnis der aktuellen Entscheidung – welcher das Verfahren beim EuG vorausgegangen ist – fassen wir noch einmal kurz zusammen:

Gegenstand des Verfahrens sind Fragen rund um ein Abwicklungsverfahren einer spanischen Bank. Im Rahmen dieses Abwicklungsverfahrens koordinierte der Einheitliche Abwicklungsausschuss, der Single Resolution Board (SRB), entsprechende Stellungnahmen mittels eines Online-Fragebogens von Gläubigern und Schuldnern im Rahmen eines Konsultationsverfahrens. Den eingegangenen Stellungnahmen erfolgte jeweils die Zuordnung eines alphanumerischen Codes, der aus einer 33-stelligen eindeutigen Identifikationsnummer bestand. Die mit dem Code versehenen Stellungnahmen wurden durch den SRB an externe Empfänger weitergegeben. Die Empfänger haben und hatten laut Angaben des SRB nie einen Zugriff auf die zur Identifizierung der betroffenen Personen erforderlichen Informationen.

In Bezug auf dieses Verfahren wandten sich betroffene Personen mit einer Beschwerde an den Europäischen Datenschutzbeauftragten (EDSB), dass diese Weitergabe aus den datenschutzrechtlichen Informationen des SRB nicht ersichtlich gewesen sei. Nach Ansicht des EuGH sei darauf abzustellen, ob den Empfängern anhand der übermittelten Informationen überhaupt eine Identifizierung der betroffenen Personen möglich gewesen wäre. Darüber wird keine absolute Anonymität von Daten derart gefordert, dass eine Identifizierung der betroffenen Personen für jedermann ausgeschlossen sein muss. Für die Beurteilung ist insoweit auf die Sicht des Datenempfängers abzustellen.

Die Möglichkeiten der Re-Identifizierung sind entscheidend

Zunächst setzt sich der EuGH mit dem Personenbezug der Stellungnahmen auseinander, welche auch persönliche Meinungen enthielten:

„Der Gerichtshof hat entschieden, dass in der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten […] das Ziel des Unionsgesetzgebers zum Ausdruck kommt, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt […] Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist.“

Mithin kann es sich also auch bei den Stellungnahmen wie im streitgegenständlichen Fall um personenbezogene Daten handeln. So weit so gut. Für die Weitergabe dieser Daten ist mit dem EuGH nunmehr entscheidend, ob der Datenempfänger einen Rückschluss auf die betroffene Person ziehen kann und ob eine Re-Identifizierung möglich ist: „In diesem Zusammenhang ist darauf hinzuweisen, dass sich eine Information […] auf eine „identifizierte oder identifizierbare“ natürliche Person beziehen muss, um unter den Begriff der personenbezogenen Daten im Sinne dieser Bestimmung zu fallen. Die Anwendung […] setzt grundsätzlich also eine Prüfung voraus, ob die von der in Rede stehenden Information betroffene Person identifiziert oder identifizierbar ist.“

Diesbezüglich verweist der EuGH ebenfalls auf die pseudonymisierten Daten. Durch einen Blick in Art. 4 Nr. 5 DS-GVO erhalten wir sogleich eine Definition, was unter einer Pseudonymisierung zu verstehen ist: „„Pseudonymisierung“ [meint] die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Nach dem EuGH gilt zudem zu berücksichtigen: „der Begriff „Pseudonymisierung“ [setzt] das Vorliegen von Informationen [voraus], die eine Identifizierung der betroffenen Person ermöglichen […]. Sofern solche technischen und organisatorischen Maßnahmen nämlich tatsächlich ergriffen werden und geeignet sind, eine Zuordnung der in Rede stehenden Daten zu der betroffenen Person zu verhindern, so dass diese nicht oder nicht mehr identifizierbar ist, kann sich die Pseudonymisierung auf die Personenbezogenheit dieser Daten […] auswirken.“

Und weiter: „Außerdem hat der Gerichtshof bereits entschieden, dass ein Mittel nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde.“

Zudem „[…] wirkt sich dieser Umstand insbesondere im Zusammenhang mit einer etwaigen späteren Übermittlung an Dritte nämlich nicht auf die Beurteilung der Personenbezogenheit dieser Daten aus. Sofern nämlich nicht ausgeschlossen werden kann, dass diese Dritten nach allgemeinem Ermessen in der Lage sind, die pseudonymisierten Daten anhand von Mitteln wie etwa einem Abgleich mit anderen ihnen zur Verfügung stehenden Daten der betroffenen Person zuzuordnen, ist diese Person sowohl in Bezug auf die Übermittlung der Daten als auch in Bezug auf die spätere Verarbeitung dieser Daten durch Dritte als identifizierbar anzusehen. Unter solchen Umständen müssten pseudonymisierte Daten als personenbezogene Daten betrachtet werden.“

Im Ergebnis handelt es sich demnach um personenbezogene Daten, solange besagte Re-Identifizierung technisch und/oder organisatorisch möglich ist: „[…] die Pseudonymisierung kann – je nach den Umständen des Einzelfalls – andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für sie nicht oder nicht mehr identifizierbar ist.“

Fazit

Der EuGH bestätigt damit den sogenannten subjektiven Ansatz zur Bestimmung des Personenbezugs beziehungsweise den sogenannten relativen Personenbezug und auch die Breyer-Rechtsprechung. Es kommt bei einer Datenübermittlung mithin entscheidend auf die Mittel an, welche potenziellen Empfängern zur Verfügung stehen, um bestimmten zu können, ob es sich um personenbezogene Daten handelt. Hierdurch entsteht durch das Urteil in der Praxis unter Umständen neue Bedeutung rund um die Verschlüsselung.

Überlegenswert erscheint zudem die Überlegung zu hinterfragen, wie hoch das „Risiko“ einer Identifizierung ist, wenn diese gesetzlich verboten ist, z. B. in Fällen von Cyber-Angriffen und damit in Zusammenhang stehenden Datenexfiltrationen.Für die Praxis weiterhin relevant sein dürfte die Auseinandersetzung über die Informationspflichten im Zusammenhang mit potenziellen Pseudonymisierung sein (vgl. Rn. 111-113). Zur Vertiefung der Thematik empfehle ich schließlich die Lektüre dieses Blog-Beitrages von den Kollegen von Piltz Legal.

Datenschutzrechtliche Transparenzanforderungen bei Nutzung von KI

Max Just — Mon, 02 Jun 2025 08:00:00 +0000

Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung. Eine solche kann grundsätzlich im Zusammenhang mit einem Einsatz von Künstlicher Intelligenz stattfinden. Doch was bedeutet das konkret? Ein Überblick.

Zum Begriff der automatisierten Entscheidungsfindung

Der Begriff der automatisierten Entscheidungsfindung ist innerhalb der DS-GVO nicht näher definiert. Im Rahmen von Art. 22 Abs. 1 DS-GVO wird lediglich ausgeführt, dass die betroffene Person „das Recht [hat], nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Aus der Regelung kann entnommen werden, dass es sich bei einem Profiling um eine Sonderform einer automatisierten Entscheidungsfindung handelt, wobei Profiling gemäß Art. 4 Nr. 4 DS-GVO als automatisierten Verarbeitung personenbezogener Daten zu verstehen ist, „die darin besteht, bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten […].“

Hieraus folgend kann eine „allgemeine“ automatisierte Entscheidungsfindung als eine ohne die Beteiligung einer Person vorgenommene Entscheidung verstanden werden, deren Ziel nicht in der Bewertung persönlicher Aspekte, sondern in der Vornahme einer konkreten Auswahl zwischen verschiedenen Möglichkeiten liegt. Entsprechend können die einschlägigen Regelungen im Kontext Künstlicher Intelligenz neue Relevanz entfalten. Das gilt insbesondere dann, wenn mithilfe von KI-Anwendungen Auswahlentscheidungen, beispielsweise im Rahmen des Bewerbungs- oder Personalmanagements, getroffen werden – auch unabhängig von der Bewertung des Risikos nach der KI-Verordnung.

Transparenzanforderungen nach DS-GVO

Liegt eine solche automatisierte Entscheidungsfindung bzw. Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO vor, greifen neben den allgemein bekannten und üblichen Anforderungen des Artikels 13 DS-GVO, zum Beispiel Angaben zum Zweck, zur Rechtsgrundlage und zur Speicherdauer, auch die spezifischen Anforderungen gemäß Art. 13 Abs. 2 lit. f) DS-GVO. In diesen Fällen hat der Verantwortliche ergänzend „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitzustellen.

In der Praxis werden diese Anforderungen oftmals falsch hinsichtlich einer Darlegung konkreter Algorithmen missverstanden und damit einer Offenlegung von Geschäftsgeheimnissen gleichgesetzt. Dieser Ansicht erteilt der Europäische Gerichtshof (EuGH) im Rahmen eines in diesem Jahr ergangenen Urteils (EuGH, Urt. v. 27. Februar 2025, Rs. C-203/22) jedoch eine deutliche Absage.

In dem betreffenden Urteil heißt es zu den bestehenden Transparentanforderungen: „Weder die bloße Übermittlung einer komplexen mathematischen Formel […], noch die detaillierte Beschreibung jedes Schrittseiner automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstellt.“ Konkret: „Die „aussagekräftigen Informationen über die involvierte Logik“ […] müssen also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität […] den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte.“ Dazu gehört nach Ansicht des EuGH auch eine Darstellung, „in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnisgeführt hätte.“

Letztgenannter Punkt ist auch in Bezug auf „die Tragweite und die angestrebten Auswirkungen“ im Sinne des Art. 13 Abs. 2 lit. f) DS-GVO essenziell. Hiernach dürfte es ebenfalls erforderlich sein, der betroffenen Person transparent darzustellen, welche Entscheidungsmöglichkeiten grundsätzlich bestehen und welche Ergebnisse der Verarbeitung personenbezogener Daten zu welchen Entscheidungen führen oder potenziell führen können.

Fazit

Das aktuelle Urteil des EuGH macht deutlich, dass Transparenzpflichten und Geheimhaltungsinteressen einander nicht ausschließen müssen.Die Offenlegung konkreter Algorithmen ist nach Ansicht des Gerichts durch Artikel 13 DS-GVO nicht gefordert, das vollständige Verwehren jeglicher Darstellungen aufgrund von Geschäftsgeheimnissen jedoch ebenso nicht zulässig.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ist das EU-U.S. Data Privacy Framework in Gefahr?

Max Just — Mon, 10 Feb 2025 09:00:00 +0000

Es vergeht derzeit wohl kaum ein Tag, an dem die neue Regierung um US-Präsident Donald Trump nicht für neue Schlagzeilen sorgt. Einige der Entscheidungen, die derzeit in Washington, D. C. getroffen werden, könnten sich auch auf datenschutzrechtliche Aspekte in Europa auswirken. So drohen Verantwortlichen, die personenbezogene Daten derzeit auf Grundlage des EU-U.S. Data Privacy Frameworks in die USA übermitteln, erneut rechtliche Unsicherheiten. Unter Berücksichtigung der oftmals selbstverständlichen Nutzung von Cloud- und KI-Anwendungen US-amerikanischer Anbieter, könnte dies eine Vielzahl von Unternehmen, Behörden und Vereinen treffen.

Was ist das EU-U.S. Data Privacy Framework (DPF)?

Mit dem DPF wird zertifizierten Unternehmen in den USA ein im Verhältnis zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Es räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein, zum Beispiel das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten. Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium.

Die US-amerikanischen Unternehmen können ihre Teilnahme am DPF zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z. B. Zweckbindung, Datenminimierung) einzuhalten. Die Zertifizierungsanträge werden durch das US-Handelsministerium bearbeitet. Dieses überwacht ebenfalls, ob die teilnehmenden Unternehmen die Zertifizierungsanforderungen weiterhin erfüllen.

Möglich ist ein solches Vorgehen auf Grundlage des Art. 45 DS-GVO, wonach die Europäische Kommission unter Prüfung verbindlich definierter Kriterien sogenannte Angemessenheitsbeschlüsse treffen kann. Vorteil: In die betreffenden Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen, wie beispielsweise des Abschlusses von Standardvertragsklauseln und der Durchführung einer Transferfolgenabschätzung.

Wieso könnte das EU-U.S. Data Privacy Framework in Gefahr sein?

Möglich wurde das DPF insbesondere aufgrund von Änderungen der Rechtslage in den USA: Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Executive Order über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des DPF geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem DPF.

Mittels Executive Orders (deutsch: Durchführungsverordnung) können US-Präsidenten ohne Zustimmung des Kongresses rechtlich verbindliche Regelungen erlassen. Diese gelten zeitlich unbefristet, können jedoch durch einen amtierenden US-Präsidenten zu jeder Zeit abgeändert oder zurückgenommen werden.

Einerseits steht nun die benannte Executive Order, auf der das DPF beruht, in ihrer Gesamtheit auf der Kippe. Andererseits habe die US-Regierung bereits die demokratischen Mitglieder des Privacy und Civil Liberties Oversight Board (PCLOB) zum Rücktritt aufgefordert. Dies stellt eine unmittelbare Gefährdung der Funktionsfähigkeit des PCLOB dar, welches unter anderem für die Überwachung der Einhaltung der Vorgaben des DPF ist. Insofern könne auch die Begrenzung der Zugriffe von US-Geheimdiensten auf ein notwendiges und verhältnismäßiges Maß nicht mehr hinreichend kontrolliert werden.

Eine derartige Entwicklung könnte nun dafür sorgen, dass die Europäische Kommission den bestehenden Angemessenheitsbeschluss widerruft, ändert oder aussetzt (Art. 45 Abs. 5 DS-GVO). Aber auch im Rahmen eines Verfahrens vor dem Europäischen Gerichtshof könnte der Angemessenheitsbeschluss auf Grundlage des DPF kassiert werden. Ein Schicksal, dass bereits die Vorgänger-Abkommen „Safe Harbour“ und „Privacy Shield“ ereilte. Konkrete Anzeichen lassen sich derzeit jedoch noch (?) für keines der beiden Szenarien finden.

Wie sollten Verantwortliche mit der Situation umgehen?

In jedem Fall empfiehlt es sich, einen genauen Überblick darüber zu haben, inwieweit personenbezogene Daten in die USA (und andere Länder außerhalb der Europäischen Union) übermittelt und cloudbasierte Anwendungen von Anbietern mit Sitz in diesen Ländern verwendet werden. Insbesondere sofern solche Übermittlungen im Rahmen von geschäftskritischen Prozessen stattfinden, sollten alternative Übermittlungsmechanismen (z. B. Standardvertragsklauseln) geprüft und vorbereitet oder zumindest bereitgehalten werden.

Darüber hinaus empfiehlt sich stets eine Prüfung, ob mittels vergleichbarer Software-Alternativen mit Verarbeitungsort innerhalb der Europäischen Union derartige Datenübermittlungen für die Zukunft reduziert werden könnten. Weiterhin können auch geeignete und wirksame Verschlüsselungsverfahren angewandt werden. Hierbei sollte jedoch stets ein kritischer Blick darauf gelegt werden, an welchem Ort und durch wen die zugehörigen Schlüssel verwaltet werden.

Panik ist zum gegenwärtigen Zeitpunkt nicht angebracht. Verantwortliche sollten sich jedoch der Risiken bewusst sein und sich zumindest einen möglichen Plan B ohne EU-U.S. Data Privacy Framework zurechtlegen.

Über die Interessenabwägung will (auch) informiert sein

Alexander Weidenhammer — Mon, 20 Jan 2025 09:00:00 +0000

Die letzten Tage und Wochen sind – mal wieder möchte man meinen – von einigen Highlights in der datenschutzrechtlichen Rechtsprechung geprägt wurden. Bereits in unserem Jahresrückblick haben wir das Urteil des Europäischen Gerichtshof (EuGH) vom 19. Dezember 2024 (Rs. C-65/23) zu Art. 88 DS-GVO und Betriebsvereinbarungen erwähnt. In den letzten Tagen sorgte zudem ein Urteil des Gericht der Europäischen Union (EuG) vom 8. Januar 2025 (Rs. T-354/22) für Aufsehen, in dem die Europäische Kommission aufgrund einer rechtswidrigen Datenübermittlung in die USA (konkret an Amazon Web Services – AWS) zu einem Schadenersatz in Höhe von 400€ verurteilt wird.

In unserem heutigen Beitrag wollen wir uns jedoch dem Urteil des EuGH vom 9. Januar 2025 (Rs. C-394/23) näher zuwenden, zumindest ausschnittsweise. Im Kern adressiert das Urteil die Frage nach der Zulässigkeit der Rechtmäßigkeit der Verarbeitung hinsichtlich Anrede und Geschlechtsidentität. Wir wollen uns jedoch lediglich den Ausführungen des EuGH zum Thema des berechtigten Interesses widmen. Doch lest selbst.

Das berechtigte Interesse

… nach Abwägung müsste der Tatbestand in Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO richtigerweise genannt werden. In der Praxis hat sich jedoch weit überwiegend die Bezeichnung „berechtigtes Interesse“ durchgesetzt, wenn nicht sogar beiläufig die Bezeichnung „Auffangtatbestand“ genutzt wird. Mit den Voraussetzungen des Tatbestandes inklusiv Verweisen auf die Rechtsprechung des EuGH haben wir uns hier in der Vergangenheit bereits auseinandergesetzt. Hierbei betont der EuGH stets, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen.

Gleichgültig auf welches berechtigte Interesse im Rahmen der Abwägung der Verantwortliche zurückgreift, allein mit der Festlegung ist es nicht getan. Vielmehr bedarf es auch der Information der Betroffenen über das jeweils gegenständliche Interesse. Es bedarf der Information? Genau, steht zwar nicht direkt im Tatbestand, macht aber nichts. Wie so häufig schadet es nicht, einen Blick ins Gesetz zu riskieren. In Art. 13 DS-GVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person) wird in Abs. 1 lit. d) Folgendes normiert:

„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: […], wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden […].“

Spiegelbildlich wird in Art. 14 DS-GVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) in Abs. 2 lit. b) folgendes geregelt:

„Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten: […] wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden […]“

So weit, so gut. Doch was bedeutet diese Informationspflicht für den Tatbestand und damit letztendlich auch für Anwendung des berechtigten Interesses in der Praxis?

Zurück zum Urteil

Die Frage nach der Auswirkung bei fehlender oder mangelhafter Informationspflicht in der Praxis beantwortet der EuGH nun in seinem Urteil (Rn. 46): „Was erstens die Voraussetzung der Wahrnehmung eines berechtigten Interesses betrifft, ist darauf hinzuweisen, dass es nach Art. 13 Abs. 1 Buchst. d DSGVO dem Verantwortlichen obliegt, einer betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO beruht.“

Und weiter in Rn. 52: „Wie der Generalanwalt in Nr. 58 seiner Schlussanträge ausgeführt hat, verlangt diese Bestimmung, dass den betroffenen Personen zum Zeitpunkt der Erhebung der Daten unmittelbar das verfolgte berechtigte Interesse mitgeteilt wird, da andernfalls diese Erhebung nicht auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung gerechtfertigt werden kann.“

Im konkreten Verfahren lässt der EuGH eine weitere Beurteilung der Frage offen, da sich dies nicht aus den vorliegenden Akten ableiten lässt.

Fazit

Für die Praxis lassen sich diese Ausführungen des EuGH dahingehend zusammenfassen, dass die Erfüllung des Tatbestand des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO den Verantwortlichen bei der Datenverarbeitung auf Grundlage des berechtigten Interesses nach Abwägung noch nicht in Sicherheit wiegen darf. Vielmehr müssen auch die Informationspflichten aus Art. 13 DS-GVO (und sofern anwendbar vermutlich auch Art. 14 DS-GVO) erfüllt sein, damit die gegenständliche Datenverarbeitung als rechtmäßig betrachtet werden kann. Verantwortliche sollten daher insbesondere bei der Erfüllung der Datenschutzinformationen darauf achten, dass nicht nur gebetsmühlenartig auf den Tatbestand verweisen wird, sondern das eine tatsächliche Auseinandersetzung erfolgt.

Der Jahresrückblick 2024 Teil II

Max Just — Mon, 30 Dec 2024 09:00:00 +0000

Im ersten Teil des Jahresrückblick 2024 haben wir bereits einen Blick auf die hervorzuhebenden Themen in den Monaten Januar bis Juni werfen können. Im Rahmen unseres heutigen Blog-Beitrages widmen wir uns nun den Monaten Juli bis Dezember.

Juli

Für eine kleine Überraschung sorgte im Juli der Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). Hinsichtlich der privaten Nutzung von dienstlichen E-Mail-Postfächern und Internetzugängen wurde bislang zu großen Teilen vertreten, dass es sich hierbei seitens des Arbeitgebers um ein Anbieten von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten handelt und somit das Fernmeldegeheimnis einschlägig ist. Die LDI NRW verkündete im Rahmen des Tätigkeitsberichtes eine Abkehr von der bisherigen Rechtsauffassung: „Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gehen deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich eine rechtliche Bewertung geändert hat […].“ Mit den Hintergründen haben wir uns im Rahmen eines Blog-Beitrages auseinandergesetzt.

Darüber hinaus sorgte der Crowdstrike-Vorfall – der vermeintlich größte IT-Ausfall aller Zeiten – für Aufsehen. Ursache für den Ausfall war ein fehlerhaftes Update des Herstellers Crowdstrike im Produkt Crowdstrike Falcon, einer weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte. Betroffen waren Organisationen in zahlreichen Branchen, darunter auch Betreiber Kritischer Infrastrukturen, das heißt Flughäfen, Krankenhäuser, Behörden und eine Vielzahl weiterer Organisationen. Medial viral gingen Bilder von sogenannten Bluescreens. Als Folge des Vorfalls wurden zwischenzeitlich viele Fragen rund um eine mögliche Haftung von Crowdstrike diskutiert. Eine Auseinandersetzung mit dieser Thematik erfolgte in unserem Blog-Beitrag „Der Crowdstrike-Vorfall und die Frage nach Verantwortung“.

Weniger überraschend hingegen fiel der zweite Bericht der Europäischen Kommission zur Evaluierung der Datenschutz-Grundverordnung (DS-GVO) aus: „Zwischen den Interessenträgern, den Datenschutzbehörden und den Mitgliedstaaten besteht weitgehend Einigkeit darüber, dass die DS-GVO trotz einiger Herausforderungen wichtige Ergebnisse für Einzelpersonen und Unternehmen gebracht hat. […] In den kommenden Jahren sollte der Schwerpunkt insbesondere darauf liegen, die Bemühungen der Interessenträger – vor allem kleine und mittlere Unternehmen (KMU), kleine Marktteilnehmer, Forscher und Forschungseinrichtungen – zu unterstützen, klarere und umsetzbarere Leitlinien der Datenschutzbehörden bereitzustellen und eine einheitlichere Auslegung und Durchsetzung der DSGVO in der gesamten EU zu erreichen.“ Wir dürfen gespannt sein, ob in den kommenden Jahren eine solche Vereinheitlichung gelingen wird.

August

Im August 2024 ist die weltweit erste umfassende Verordnung über Künstliche Intelligenz (KI) in Kraft getreten. Ziel dieser ist insbesondere die Gewährleistung eines Einsatzes vertrauenswürdiger und die Grundrechte der Menschen wahrenden KI. Bei der sogenannten KI-Verordnung (KI-VO, engl. AI Act) handelt es sich damit um keine Verordnung datenschutzrechtlichen Ursprungs, sondern um eine Regulation aus Sicht des Produktsicherheitsrechts. Gemäß Art. 2 Abs. 7 KI-VO gelten die Regelungen der KI-VO neben denen der Datenschutz-Grundverordnung, das heißt ergänzend zu dieser. Die spezifischen Anforderungen der Verordnung werden gemäß Art. 113 KI-VO in Abstufungen anwendbar. Welche Regelungen bereits ab Anfang 2025 gelten und wie sich die deutschen und europäischen Datenschutz-Aufsichtsbehörden bislang zum Thema KI positionieren, haben wir hier zusammengefasst.

Im Rahmen einer Pressemitteilung machte die Sächsische Datenschutz- und Transparenzbeauftragte auf das datenschutzkonforme Schwärzen von Dokumenten aufmerksam. Was zunächst trivial klingen mag, kann in der Praxis ernsthafte rechtliche Konsequenzen nach sich ziehen: „Wie die Aufsichtspraxis der Sächsischen Datenschutz- und Transparenzbeauftragten zeigt, unterlaufen Verantwortlichen beim Schwärzen gelegentlich Fehler. Dadurch können die Persönlichkeitsrechte der Betroffenen verletzt werden. Zudem ist der Verantwortliche in der Pflicht – sofern schützenswerte personenbezogene Daten offenbart werden – die Datenpanne gemäß Artikel 33 Datenschutz-Grundverordnung der zuständigen Aufsichtsbehörde zu melden.“ In unserem zugehörigen Blog-Beitrag geben wir einen entsprechenden Überblick.

September

Ende September stärkte der Europäische Gerichtshof (EuGH) mit einem Urteil die Rolle der Datenschutz-Aufsichtsbehörden bei der Durchsetzung der Datenschutz-Grundverordnung und gewährt insbesondere mehr Ermessensspielraum für das Tätigwerden dieser. Somit besteht seitens betroffener Personen grundsätzlich kein Anspruch auf das Tätigwerden oder gar auf das Ergreifen konkreter Maßnahmen. Ausgangspunkt des Verfahrens war eine Klage gegen den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI).

Oktober

Im Laufe des Oktobers legte der EuGH mit einer Reihe weiterer datenschutzrelevanter Entscheidungen nach. Wenig überraschend stärkt dieser mit seinen Entscheidungen die Position betroffener Personen und schafft für die rechtskonforme Verarbeitung personenbezogener Daten weitere konkrete Rahmenbedingungen: Im Rahmen der Rechtssache C-446/21 betonte der EuGH einerseits die Pflicht zur zeitlichen Beschränkung von Datenverarbeitungen und andererseits die enge Zweckbindung bei der Verarbeitung besonderer Kategorien personenbezogener Daten – jeweils im Kontext personalisierter Werbung.

In einem weiteren Verfahren (Rs. C-621/22) setzte sich der EuGH mit dem sogenannten berechtigten Interesse auseinander. Konkret ging es im vorliegenden Fall um die Weitergabe personenbezogener Daten von Mitgliedern eines Sportverbandes zu Werbezwecken an Sponsoren. Mit Verweis auf vorangegangene Urteile betonte der EuGH erneut, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen. Weiterhin müsse die Datenverarbeitung das mildeste Mittel zur Zweckerreichung darstellen und objektiv erforderlich sein. Kurze Zeit darauf veröffentliche auch der Europäische Datenschutzausschuss (EDSA) im Rahmen eines öffentlichen Konsultationsverfahrens entsprechende Leitlinien zur Anwendung des berechtigten Interesses.

Abschließend ist in dieser Reihe noch das Urteil des EuGH zur Rechtssache C-21/23 „Lindenapotheke“ anzuführen. Einerseits stellte der EuGH klar, dass die Regelungen der DS-GVO keine nationalen Rechtsvorschriften ausschließe, welche es Wettbewerbern ermögliche, gegen Datenschutzverletzungen von Dritten vorzugehen, selbst wenn sie selbst weder Betroffener, Verantwortlicher oder Auftragsverarbeiter sind. Andererseits entschied der EuGH, dass bei einem Kauf nicht verschreibungspflichtiger Arzneimittel über einen Online-Shop auch die Kundendaten in Form von Namen, Lieferadresse und Produktinformationen als Gesundheitsdaten gelten können. Insofern ist für die Praxis stets ein sehr weites Verständnis für besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Nr. 1 DS-GVO anzunehmen.

Aber auch das Oberlandesgericht (OLG) Dresden konnte im Oktober ein äußerst praxisrelevantes Urteil (Az. 4 U 940/24) präsentieren. Das OLG entschied unter anderem, dass dem datenschutzrechtlich Verantwortlichen gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrages eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten obliegt und, dass sich der Verantwortliche nicht auf einen Exzess des Auftragsverarbeiters (vgl. Art. 28 Abs. 10 DS-GVO) berufen kann, wenn er dieser Kontrollpflicht nicht nachgekommen ist. Die Einzelheiten des Urteils und eine rechtliche Einordnung haben wir im Rahmen unseres Blog-Beitrages vorgenommen.

Ebenfalls im Oktober tauchte der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt – Beschäftigtendatengesetz (BeschDG) auf. Mit Blick auf die Auflösung des Bundestages und die bevorstehenden Neuwahlen im Februar 2025 ist jedoch in naher Zukunft nicht mit einer Verabschiedung des Gesetzes zu rechnen. Auch unter Berücksichtigung inhaltlicher Aspekte ist bereits abzusehen, dass der vorliegende Gesetzesentwurf in dieser Form nicht verabschiedet werden wird.

November

Jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2024 erschien Mitte November und bietet einen Überblick über die aktuellen Bedrohungen im Cyberraum sowie die aktuellen Trends der Cyberkriminalität bezogen auf Deutschland. Das Ergebnis in der Kürze dürfte wohl niemanden überraschen: „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Unser Blog-Beitrag stellt einige ausgewählte Themen aus dem aktuellen Bericht dar.

Der Bundesgerichtshof (BGH) hat ebenfalls Mitte November (Az. VI ZR 10/24) über Ansprüche von betroffenen Personen im Zusammenhang mit sogenanntem „scraping“ (deutsch: „abschürfen“) entschieden. Nachdem im Rahmen von unterinstanzlichen Urteilen die Schadensersatzansprüche in der Regel verneint wurden, hat der BGH im Wege eines Leitentscheidungsverfahrens hiervon abweichend geurteilt. Die höchstrichterliche Entscheidung hat nun Einfluss auf unzählig ähnlich gelagerte Klagen, die derzeit an Landes- und Oberlandesgerichten in Deutschland anhängig sind. Auch wenn im konkreten Fall lediglich ein Schadensersatz in Höhe von 100 Euro als angemessen angesehen wurde, sollten die Auswirkungen dieser Entscheidung für die Praxis nicht unterschätzt werden, wie unserem Blog-Beitrag zu entnehmen ist.

Dezember

Nachdem der Cyber Resilience Act (CRA) bereits im Oktober 2024 verabschiedet wurde, ist dieser am 11. Dezember 2024 in Kraft getreten. Bei dem CRA handelt es sich um die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte vorschreibt, welche auf dem europäischen Markt erhältlich sind. Hierdurch soll die Cybersicherheit innerhalb der Europäischen Union nachhaltig gestärkt werden. Die wesentlichen Inhalte des CRA gelten jedoch erst im Laufe der Jahre 2026 und 2027 – die Zeit bis dahin sollte jedoch zur Umsetzung der gesetzlichen Anforderungen genutzt werden.

In der weihnachtlichen Vorfreude fast unbeachtet blieb zunächst das Urteil des EuGH zu Art. 88 DS-GVO (Rs. C-65/23). Dem Urteil zu entnehmen ist, dass die nationalen Vorschriften im Rahmen des Art. 88 DS-GVO zusätzlich zu den dort geregelten Anforderungen ebenfalls die allgemeinen Anforderungen der DS-GVO, insbesondere aus Art. 5, 6 und 9 DS-GVO berücksichtigen müssen. Weiterhin stellte der EuGH klar, dass Kollektivvereinbarungen, welche die Verarbeitungen personenbezogener Daten regeln, einer vollen gerichtlichen Kontrolle, insbesondere im Hinblick auf die Erforderlichkeit, unterfallen können.

Damit beenden wir unseren kleinen Jahresrückblick für das Jahr 2024 und sind auf die kommenden Entwicklungen im neuen Jahr gespannt. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als treue Leser:innen unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.

In diesem Sinne wünschen wir Ihnen nun einen guten und gesunden Start in das Jahr 2025!

Der Jahresrückblick 2024 Teil I

Alexander Weidenhammer — Mon, 16 Dec 2024 09:00:00 +0000

Gemeinsam wollen wir wie in jedem Jahr in zwei Beiträgen auf das Jahr 2024 und die Ereignisse aus dem Datenschutzrecht und der Informationssicherheit zurückblicken. Beginnen wir unseren Jahresrückblick 2024 mit den Monaten Januar bis Juni.

Januar

Der Data Act – auch Datenverordnung – als ein Baustein der europäischen Datenstrategie wurde bereits im vergangenen Jahr durch den Rat der Europäischen Union verabschiedet und ist zum 11. Januar 2024 in Kraft getreten. Ähnlich wie beispielsweise bereits bei der DS-GVO gilt zunächst eine Übergangsfrist, sodass der Data Act erst ab dem 12. September 2025 vollumfänglich anzuwenden sein wird. Der Data Act zielt auf eine bessere Nutzung von Daten als Wirtschaftsgut sowie auf eine Förderung eines wettbewerbsfähigen Datenmarktes hin. Nutzerinnen und Nutzer von vernetzten Geräten und Produkten sollen darüber entscheiden können, wie mit dem gewonnenen Daten umzugehen ist, an deren Entstehung sie maßgeblich mitgewirkt haben.

Mit einem Blick auf Erwägungsgrund 7 zum Data Act wird schnell deutlich: Die Regelungen der DS-GVO bleiben durch den Data Act unberührt und beide Rechtsakte sind unabhängig voneinander anzuwenden. Zudem ist Erwägungsgrund 7 zum Data Act zu entnehmen, dass Verarbeitungen personenbezogener Daten zur Umsetzung der Anforderungen aus dem Data Act einer Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO und gegebenenfalls nach Art. 9 Abs. 2 DS-GVO erfordern. Hierbei ist jedoch zu beachten, dass der Data Act als solcher selbst keine Rechtsgrundlage zur Verarbeitung personenbezogener Daten darstellt.

Für den Fall, dass ein Nutzer im Sinne des Data Acts von einer betroffenen Person im Sinne der DS-GVO abweicht, schlägt Erwägungsgrund 7 zum Data Act die Anonymisierung personenbezogener Daten vor. Weiterführende Informationen zum Data Act und der DS-GVO gibt es hier.

In unserem Blog haben wir uns im Januar zudem mit noch einigen Ereignissen aus den Dezembertagen 2023 befasst. Zum Nachlesen gibt es die Berichte hier und hier. Darüber hinaus hat der Europäische Gerichtshof (EuGH) in einem Urteil vom 25. Januar 2025 (C‑687/21) entschieden, dass allein die anhaltende Sorge, die eigenen Daten könnten missbräuchlich verwendet werden, für einen immateriellen Schadensersatz nach Art. 82 DSGVO nicht ausreicht. Einen Beitrag zu diesem Urteil gibt es an anderer Stelle.

Februar

Für Furore sorgten in den Februartagen Beiträge in denen berichtet wurde, dass mehrere Millionen vernetzter Zahnbürsten durch Cyberkriminelle mittels Schadsoftware infiltriert wurden, um diese künftig für einen sogenannten DDoS-Angriff benutzen zu können. Wieviel an den Gerüchten dran war und was eigentlich DDoS-Angriffe sind, lesen Sie in unserem Beitrag zu diesem Thema.

März

Am 7. März 2024 befasste sich der EuGH mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten zu verstehen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen beziehungsweise Mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P). Außerdem adressierte der EuGH weitere Fragen rund um den Begriff der Verarbeitung nach Art. 4 Nr. 2 DS-GVO und wie dieser in bestimmten Situationen zu verstehen und anzuwenden sein soll (Rs. C-740/22). Zum Nachlesen gibt es hier und hier eine Zusammenfassung der Rechtsprechung.

In einem Urteil vom 15. März 2024 (Az. VI ZR 330/21) beschäftigte sich der Bundesgerichtshof (BGH) mit der Frage, was unter dem Begriff Kopie der personenbezogenen Daten zu verstehen ist. Bezüglich der Definition von personenbezogenen Daten verweist das Gericht auf die Rechtsprechung des EuGH, wonach der Begriff personenbezogene Daten weit zu verstehen ist. Der Begriff umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, vorausgesetzt, dass es sich um Informationen über die in Rede stehende Person handelt.

In dem Urteil stell der BGH klar, dass Art. 15 Abs. 1 DS-GVO betroffenen Personen ein Auskunftsrecht über die Verarbeitung personenbezogener Daten gibt. Art. 15 Abs. 3 DS-GVO legt die Modalitäten für die Erfüllung des Auskunftsersuchens fest, indem er unter anderem die Form, in der die Daten zur Verfügung zu stellen sind, regelt, nämlich als Kopie der Daten, ohne jedoch ein anderes Recht zu gewähren als das, was Art. 15 Abs. 1 DS-GVO vorsieht. Mehr zu diesem Urteil gibt es in einem Blog-Beitrag.

April

Mit Urteil vom 10. April 2024 (Az. 12 Sa 1007/23) hatte sich das Landesarbeitsgericht (LAG) Düsseldorf mit der Frage auseinanderzusetzen, ob die Durchführung einer Google-Recherche zur Überprüfung der Eignung des Bewerbers datenschutzrechtlich zulässig ist. Hierbei stellte das Gericht klar, dass unter bestimmten Voraussetzungen eine Hintergrundrecherche zur Person des Bewerbers möglich sein kann, sprach dem erfolglosen Bewerber dennoch einen immateriellen Schadenersatz in Höhe von 1.000 Euro zu.

Das LAG Düsseldorf führte aus, dass die Durchführung einer Google-Recherche im Rahmen eines Bewerbungsverfahrens unter bestimmten Voraussetzungen datenschutzrechtlich zulässig sein kann. In Betracht kommt insbesondere Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO. Weiterhin stellte das Gericht fest, dass die öffentliche Stelle versäumt hatte, den Bewerber ausreichend über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 14 DS-GVO zu informieren. Den vollständigen Beitrag aus unserem Blog gibt es hier.

Der EuGH wiederrum hat sich in seinem Urteil vom 11. April 2024 (Rs. C-741/21) unter anderem mit der Frage des Exzesses der Beschäftigten im Rahmen des Schadenersatzanspruchs des Art. 82 DS-GVO befasst. Das Urteil haben wir ebenfalls in einem Blog-Beitrag näher betrachtet. Der EuGH formuliert mit dem Urteil strenge Anforderungen an die Möglichkeit zur Exkulpation für die verantwortlichen Stellen im Rahmen des Art. 82 Abs. 3 DS-GVO, insofern es sich um eine Konstellation eines Mitarbeiterexzesses handelt.

Ein bloßer Verweis auf die gegenüber den Beschäftigten erteilten Weisungen bzw. die Weisungswidrigkeit der Handlung der betroffenen Beschäftigten genügt nicht. Dies gilt gleichwohl für einen Verweis auf bestehende Datenschutzbestimmungen innerhalb der verantwortlichen Stelle, z.B. in Form einer Policy bzw. Richtlinie zum Datenschutz. Es bedarf vielmehr des konkreten Nachweises, dass zwischen dem bestehenden Verstoß gegen die Datenschutz-Grundverordnung und dem Handeln des Mitarbeiters kein Kausalzusammenhang besteht. Von den Fragen der Haftung nach Art. 82 DS-GVO gegenüber der betroffenen Person unberührt bleiben im Innenverhältnis zwischen verantwortlicher Stelle und Beschäftigten natürlich arbeits- bzw. dienstrechtliche Ausgestaltungen sowie etwaige Maßnahmen der jeweils zuständigen Datenschutzaufsichtsbehörde.

MAI

Am 7. und 8. Mai fand der 20. Deutsche IT-Sicherheitskongress statt. Motto des diesjährigen Kongresses war „Cybernation Deutschland: Kooperation gewinnt“. Unter dem Thema Vision: Wir bauen gemeinsam die Cybernation Deutschland nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Aufgaben und Verantwortungen als integraler Bestandteil der Cybersicherheitsarchitektur wahr und arbeitet mit zahlreichen Kooperationspartnern zusammen. Im Block „Management von Informationssicherheit“ war dieses Jahr auch das Dresdner Institut für Datenschutz mit einem Vortrag zum Thema „Die Erforderlichkeit zur Prüfung von Dienstleistern aus Sicht der Informationssicherheit“ vertreten. Den gesamten Beitrag gibt es zum Nachlesen im Tagungsband zum Kongress.

Am 14. Mai 2024 ist in Deutschland das Digitale-Dienste-Gesetz (DDG) in Kraft getreten, welches die Anforderungen des europäischen Digital Services Act (DSA) in nationales Recht umsetzt. Eine wesentliche Änderung: Die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz (TMG) wird so das Digitale-Dienste-Gesetz und aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Betreiber von Internetseiten müssen im Zusammenhang mit der Pflicht zur Bereitstellung eines Impressums die dortigen Formulierungen überprüfen. Wurde im Rahmen der Anbieterkennzeichnungen bislang auf § 5 TMG verwiesen, ist dieser Verweis nun auf § 5 DDG anzupassen. Zudem kann die Gelegenheit genutzt und beispielsweise die Datenschutzinformation grundsätzlich auf Aktualität geprüft werden.

Juni

Im Juni führte die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) eine größere Prüfkampagne bei Internetpräsenzen von nicht-öffentlichen und öffentlichen Stellen im Freistaat Sachen durch. Wie mit der Pressemitteilung vom 13. Juni 2024 bekannt wurde, hat diese etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrolliert. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Die betroffenen Stellen werden aufgefordert, die Nutzung von Google Analytics konform auszugestalten sowie die bis zum Zeitpunkt der Umstellung rechtswidrig verarbeiteten personenbezogenen Daten zu löschen. Mittlerweile hat die SDTB die konkreten Zahlen zum Prüfverfahren veröffentlicht. Infolge der Prüfung haben über 1.500 Website-Betreiber und -Betreiberinnen ihrer Seiten nachgebessert.

… und am Jahresende geht es weiter mit unserem Jahresrückblick mit den Monaten Juli bis Dezember 2024!

Schafft der EuGH das berechtigte Interesse ab?

Ralph Wagner — Mon, 11 Nov 2024 09:00:00 +0000

Vor einem reichlichen Monat hat der Europäische Gerichtshof (EuGH) am 4. Oktober 2024 das berechtigte Interesse nach Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO näher ausgelegt (Rs. C-621/22), reichlich ein Jahr nach der letzten wichtigen Entscheidung des EuGH zu dieser Bestimmung (Urt. v. 3.8.2023, Rs. C-252/21). Obwohl sich das „neue“ Judikat immer wieder auf das ältere bezieht und der EuGH selbst wohl sogar der Meinung war, die neue Entscheidung sei überflüssig, sorgt sie vielleicht (leider) für Aufregung und Verunsicherung. Man kann sie nämlich (nach meiner Auffassung: miss-)verstehen als enorme Verschärfung der Anforderungen für das berechtigte Interesse.

Zum Aufbau von EuGH-Urteilen

Schauen wir genauer hin: Für echte Informationen über eine EuGH-Entscheidung liest man natürlich am besten und unbedingt immer die EuGH-Entscheidung selbst – nicht einen Blog oder Kommentar wie diesen hier, jedenfalls nicht nur. Das Urteil finden Sie hier im Veröffentlichungs-Portal der Europäischen Union. An vielen anderen Stellen natürlich auch; mir gefällt die Präsentation im Portal aber gut. Außerdem hat sie den Vorteil der Mehrsprachigkeit – dazu kommen wir noch.

Haben Sie das Urteil mal überflogen? Für Erstleser von EuGH-Urteilen ist der Text etwas sperrig. Schon das dritte oder vierte Urteil liest man dann aber ganz routiniert. Bevor wir zum juristischen Kern kommen, einige Kleinigkeiten:

Die Rechtssache C-621/22 betrifft eine Bitte des Bezirksgerichts Amsterdam an den EuGH, bei der Auslegung von Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO zu helfen. Der EuGH ist für die europaweit verbindliche Auslegung des EU-Rechts allein zuständig. Wie wir im Eingangssatz (immerhin eine Seite lang) lernen, hat der EuGH die Frage des niederländischen Gerichts Ende September 2022 erhalten. Bis zur Entscheidung vergingen also ziemlich genau zwei Jahre. Das liegt beim EuGH im Rahmen. Für Beteiligte an den Ausgangsverfahren kommt dieser Zeitaufwand allerdings „on top“.

Der Königliche Niederländische Rasentennisverband (eigene Übersetzung) führt in Amsterdam ein Verfahren gegen die Autoriteit Persoonsgegevens. Wären Sie darauf gekommen, dass sich dahinter die Niederländische Datenschutz-Aufsichtsbehörde verbirgt? Entschieden hat der EuGH durch die 9. Kammer, besetzt mit drei Richtern. Berichterstatterin war die italienische Richterin Rossi. Sie gehörte dem EuGH seit Oktober 2018 an und wurde am 7. Oktober dieses Jahres durch einen neuen italienischen Richter abgelöst. „Unsere“ Entscheidung ist also vielleicht die letzte von ihr verfasste beim EuGH. Zuvor war sie (im vergangenen Jahr) auch Berichterstatterin beim wichtigen Urteil in Sachen Meta (C-252/21); dazu später mehr.

Zum Inhalt des Urteils

Nach dem Eingangssatz ist die ganze Entscheidung – wie EuGH-Urteile generell – in Textziffern gegliedert. Das ist nutzerfreundlich, weil es den Überblick und das Zitieren erleichtert. Die ersten drei Seiten bestehen nur aus Wiedergabe derjenigen Rechtsnormen, die der EuGH für die Entscheidung wichtig findet. Dieses Gesetz-Abschreiben ist beim EuGH üblich und hat den Vorteil, dass man EuGH-Entscheidungen auch ohne Gesetzbuch lesen kann.

Danach werden Ausgangsverfahren und Vorlagefragen berichtet. Wir bekommen vom EuGH also die Geschichte des jeweiligen Verfahrens erzählt, hier von Textziffer 9 bis 22. Kurz zusammengefasst: Der Tennisverband hatte Kontaktdaten seiner Mitglieder (alle Menschen, die einem Tennisverein angehören, der dem Verband beigetreten ist) an einen Sportwaren-Händler und einen Glücksspiel-Anbieter gegen Geld weitergegeben. Über deren Werbung beschwerten sich dann einige Empfänger bei der Datenschutzaufsicht und die verhängte eine Geldbuße von 525.000 Euro gegen den Verband. Der wiederum klagte gegen das Bußgeld beim Bezirksgericht Amsterdam und – schwupps – war man beim EuGH in Luxemburg.

Die gegensätzlichen Rechtsauffassungen der Aufsichtsbehörde und des Tennisverbands finden sich in Textziffern 16 und 17: Da es keine Einwilligung für die Datenweitergabe gab, berief sich der Tennisverband auf Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO, also sein berechtigtes Interesse. Die Aufsichtsbehörde argumentierte, ein berechtigtes Interesse nach DS-GVO müsse vom Gesetzgeber positiv festgelegt sein. Berechtigte Interessen wären nur „zum Gesetz gehörende, gesetzliche und in einem Gesetz festgelegte Interessen“. Der Verband wiederum meinte, als berechtigtes Interesse Im Sinne der DS-GVO komme jedes Interesse des Verantwortlichen in Betracht, solange es nicht gesetzeswidrig sei (negative Abgrenzung).

Die Auffassung des Verbandes dürfte der bisher ganz herrschenden Meinung in Deutschland entsprechen. Konkretes Beispiel, das für die EuGH-Entscheidung relevant war: Ist das Interesse an Werbung oder an Sponsoring-Geldern nur dann ein berechtigtes Interesse, wenn der Gesetzgeber irgendwo erwähnt, dass Unternehmen Werbung betreiben und Sponsoring-Gelder einnehmen dürfen?

In Textziffer 19 sind die Vorlagefragen des Bezirksgerichts Amsterdam abgedruckt und anschließend lernen wir in Textziffer 20 bis 22, dass der EuGH der Meinung war, er habe diese Fragen mit seiner Entscheidung im Verfahren C-252/21 am 4. Juli 2023 schon beantwortet. Das Bezirksgericht Amsterdam sah es jedoch anders und der EuGH war so freundlich, die Sache noch einmal zu erklären.

Ab Textziffer 23 wird es ein bisschen langweilig, weil der EuGH verschiedene Selbstverständlichkeiten aufzählt: Ziele der DS-GVO, Anforderungen nach Art. 5, im Vorlagefall fehlende Einwilligungen …, bevor er sich ab Textziffer 36 wirklich mit dem berechtigten Interesse befasst. Und mit den Textziffern 38 bis 40 hat er die Vorlagefragen eigentlich schon beantwortet: Nach früheren Entscheidungen des EuGH (zitiert werden C-26/22 und C-64/22) könne „ein breites Spektrum von Interessen grundsätzlich als berechtigt gelten“. Auch aus dem 47. Erwägungsgrund der DS-GVO ergebe sich, dass das Interesse des Verantwortlichen nicht gesetzlich geregelt sein muss, solange es rechtmäßig bleibt – also nicht gegen Gesetze verstößt.

Zum berechtigten Interesse

Wäre die Entscheidung an dieser Stelle beendet, würde sich der Tennisverband freuen. Und ich würde keinen Blog-Beitrag dazu verfassen. Der EuGH geht aber (leider?) noch ein bisschen ins Detail und zerlegt das berechtigte Interesse in drei Prüfschritte:

Erstens müsse man prüfen, ob der Verantwortliche überhaupt ein berechtigtes Interesse verfolgt. Nach der gerade dargestellten Rechtsprechung des EuGH bedeutet das nur, dass rechtswidrige Interessen ausscheiden. Eine Einbrecherbande kann sich bei Verarbeitung von Wohnanschriften wohlhabender Personen also nicht auf berechtigte Interessen berufen.
Drittens muss (Textziffer 54 der Entscheidung) eine Interessenabwägung stattfinden, die insbesondere die vernünftigen Erwartungen der betroffenen Person, den Umfang der Datenverarbeitung und ihre Auswirkungen auf Betroffene berücksichtigt. Für den konkreten Fall gibt der EuGH seinen Amsterdamer Kollegen den Hinweis, dass sie bitte genauer prüfen sollen, ob die Mitglieder des Tennisverbands vernünftigerweise absehen konnten, dass ihre Daten gegen Entgelt für Werbe- und Marketingzwecke an Dritte weitergegeben werden. Außerdem sei bei der Interessenabwägung zu beachten, dass die Datenübermittlung an einen Glücksspiel-Anbieter sich auf die Betroffenen nachteilig auswirken könne (Gefahr der Entwicklung einer Spielsucht). Alles in allem auch hinsichtlich der Interessenabwägung nichts Überraschendes, vielleicht mit Ausnahme der originellen Einzelfall-Hinweise des EuGH.
Und zweitens? Habe ich nicht vergessen, sondern für den Schluss aufgehoben, weil dort der Hase im Pfeffer liegt: Nach Auffassung des EuGH ist für das berechtigte Interesse (auch) „zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die […] Rechte […] auf Schutz personenbezogener Daten eingreifen“ (Textziffer 42). Der EuGH schlussfolgert das aus dem Zusammenlesen von Art. 6 Abs. 1 Satz 1 lit. f) und Art. 5 Abs. 1 lit. c) DS-GVO (Gebot der Datenminimierung). Und er wird dann auch konkret bei der Anwendung auf den Einzelfall: Der Tennisverein könnte vor der Datenweitergabe „seine Mitglieder … informieren und sie fragen, ob sie möchten, dass ihre Daten für Werbungs- oder Marketingzwecke an Dritte weitergegeben werden“ (Textziffer 51). Immerhin: Ob das im konkreten Fall vom Verband zu fordern sei oder er sich vielleicht doch ohne entsprechende Vorab-Befragung auf das berechtigte Interesse berufen kann, ist nach Auffassung des EuGH vom Amsterdamer Gericht zu prüfen (Textziffer 53), also nicht generell klar, sondern einzelfallabhängig. Aber komisch bleibt es doch: Haben wir jetzt einen generellen Vorrang der Einwilligung vor dem berechtigten Interesse? Verständlicher wäre, wenn der EuGH aus dem Grundsatz der Datenminimierung ableiten würde, dass eben auch beim berechtigten Interesse nur die zwingend benötigten Daten verarbeitet werden dürfen. Eine Weitergabe der Geburtsdaten oder der Vereinsbeitragsdaten an Werbe-Unternehmen wäre deshalb nicht erlaubt.

In der abschließenden Zusammenfassung (Textziffer 57) und im Entscheidungstenor (letzter Absatz des Urteils) werden die Formulierungen des EuGH sehr scharf: Auf berechtigtes Interesse könne man sich nur berufen, „wenn die Verarbeitung zur Verwirklichung des in Rede stehenden berechtigten Interesses absolut notwendig ist“. Das Erfordernis absoluter Notwendigkeit der Verarbeitung wurde beim berechtigten Interesse bisher nicht so kategorisch gesehen. Für die Datenschutz-Praxis kann sich daraus erhebliche Rechtsunsicherheit ergeben. Immerhin ist es der EuGH als verbindliche Auslegungs-Autorität, der hier gesprochen hat.

Wenn es auf Formulierungen und Nuancen ankommt, ist im europäischen Recht oft hilfreich, eine andere Sprachfassung desselben Dokuments zu vergleichen. Die Originalsprache des vorliegenden Verfahrens war niederländisch und ist mir leider nicht verständlich. Wählt man im Kopfbereich der Internetseite die englische Sprachfassung, bestätigt sich (leider) das Problem. Dort heißt es, berechtigte Interessen seien anzunehmen, „only in condition that that processing is strictly necessary for the purposes […] in question“. Absolut notwendig und strictly necessary – das sind Anforderungen, die man vom berechtigten Interesse bisher nicht kannte. Ob der EuGH diese harten Formulierungen in künftigen Entscheidungen beibehält oder doch wieder abschwächt, wird man genau beobachten müssen.

Fazit

Als Fazit aus der Entscheidung vom 04. Oktober 2024 bleibt: Die eigentliche Vorlagefrage hat der EuGH unspektakulär und vorhersehbar beantwortet – berechtigte Interessen müssen nicht gesetzlich vorgegeben sein, dürfen aber nicht gegen Gesetze verstoßen. Und anschließend hat das Gericht – wie ich finde: überraschend und ärgerlich – ein neues Problem kreiert … Was meinen Sie?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Fortschreibung des Datenschutzrechts

Alexander Weidenhammer — Mon, 21 Oct 2024 08:00:00 +0000

Es lässt sich mit Sicherheit sehr gut vertreten, dass im Datenschutz zunehmend eine Verrechtlichung stattfindet. Immer neue gesetzliche Anforderungen treten in Kraft und die Rechtsprechung beschäftigt sich mit allerlei Rechtsfragen. Insbesondere der Europäische Gerichtshof (EuGH) war in den letzten Wochen und Monaten fleißig und hat sich mit einer Reihe umstrittener Punkte auseinandergesetzt. Der heutige Beitrag soll einen Überblick über zwei dieser Urteile aus den letzten Wochen verschaffen.

Und täglich grüßt das Murmeltier – Max Schrems vs. Meta

Am 4. Oktober 2024 stand – mal wieder könnte man meinen – eine Entscheidung zwischen dem Datenschutzaktivisten Max Schrems und Meta Platforms, Inc. an. Im Kern behandelt die Rechtssache C-446/21 den Aspekt, dass nicht sämtliche personenbezogene Daten zeitlich unbegrenzt und ohne Unterscheidung nach Ihrer Art verwendet werden dürfen. Konkret hatte Facebook personenbezogene Daten, die sie ursprünglich für Zwecke der zielgerichteten Werbung erhoben hatten, in einem Werbeprofil verwendet. Es handelte sich hierbei um Aussagen einer Person über die eigene sexuelle Orientierung, mithin also um ein besonders schützenswertes Datum Im Sinne des Art. 9 DS-GVO.

Der EuGH urteilte wie folgt: „Als Zweites ist zur zeitlichen Begrenzung einer Verarbeitung personenbezogener Daten wie der Verarbeitung, um die es im Ausgangsverfahren geht, darauf hinzuweisen, dass der Gerichtshof bereits entschieden hat, dass der Verantwortliche unter Berücksichtigung des Grundsatzes der Datenminimierung verpflichtet ist, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken.“ „Die Folgen für die Interessen und das Privatleben der betroffenen Person sind nämlich umso schwerer und die Anforderungen an die Rechtmäßigkeit der Speicherung der betreffenden Daten sind umso höher, je länger diese gespeichert werden“

Und weiter: „Des Weiteren ist darauf hinzuweisen, dass gemäß Art. 5 Abs. 1 Buchst. e DSGVO die personenbezogenen Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Somit ist diesem Artikel eindeutig zu entnehmen, dass der in ihm verankerte Grundsatz der „Speicherbegrenzung“ verlangt, dass der Verantwortliche in der Lage ist, gemäß dem Grundsatz der Rechenschaftspflicht, […] nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist.“

Deshalb: „Daraus ergibt sich, wie der Gerichtshof bereits entschieden hat, dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind.“ Es lässt sich demnach festhalten, dass der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DS-GVO einer zeitlich unbegrenzten und nicht nach der Art der Daten unterscheidenden (Weiter-)Verarbeitung entgegensteht. Kritik am Urteil gibt es bereits.

Wenn sich zwei streiten – der Fall „Lindenapotheke“

In der Rechtssache C-21/23 – ebenfalls vom 4. Oktober 2024 – geht der EuGH nicht nur einer, sondern gleich zwei spannenden Fragen des Datenschutzrechts nach.

Zum einen setzt sich der Gerichtshof mit der Bestimmung des Begriffes der Gesundheitsdaten im Sinne des Art. 4 Nr. 15, Art. 9 DS-GVO auseinander. Im Ergebnis bestätigt der EuGH seine Ansicht aus vorangegangenen Urteilen und kommt zu einer weiten Auslegung des Begriffs. Zunächst einmal sind Gesundheitsdaten nach Art. 4 Nr. 15 DS-GVO „[…] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Der EuGH kommt zu dem Schluss, dass Kundendaten im Zusammenhang mit apothekenpflichtigen Arzneimitteln, die über eine Onlineplattform vertrieben werden und die Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen, Gesundheitsdaten im Sinne dieser Bestimmung darstellen. Dies gelte auch dann, wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Dies wird damit begründet, dass aus den Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können. Ziel der DS-GVO sei es ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten. Aus diesem Grunde sei auch eine weite Auslegung des Begriffs der Gesundheitsdaten geboten.

Außerdem beschäftigt sich der Gerichtshof mit dem Verhältnis von Datenschutz- und Wettbewerbsrecht. Eine seit 2018 in der datenschutzrechtlichen Welt mal mehr, mal weniger diskutierte Frage betraf im Kern die Überlegung, ob die Regelung der DS-GVO – insbesondere die Regelungen des Kapitels VIII – das nationale Wettbewerbsrecht sperren. In der Rechtssache lag ursprünglich ein Streit zwischen zwei Wettbewerben, konkret zwei Apothekern, zu Grunde. Der EuGH kommt zu dem Ergebnis, dass nationale Regelungen zum Wettbewerbsrecht, die es Mitbewerben ermöglichen gegen die Verletzung von Vorschriften zum Schutz personenbezogener Daten unter Gesichtspunkten der Vornahme unlauterer Geschäftspraktiken zu klagen, nicht durch die DS-GVO gesperrt werden.

Der Gerichtshof differenziert zwischen den jeweiligen Schutzrichtungen: „Vorab ist darauf hinzuweisen, dass Kapitel VIII DSGVO u. a. die Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person geschützt werden können, wenn die sie betreffenden personenbezogenen Daten Gegenstand einer Verarbeitung gewesen sind, die mutmaßlich gegen die Bestimmungen dieser Verordnung verstößt.“

Und weiter: „Zum Wortlaut der Bestimmungen des Kapitels VIII DSGVO ist festzustellen, dass in keiner dieser Bestimmungen ausdrücklich ausgeschlossen wird, dass ein Mitbewerber eines Unternehmens unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines angeblichen Verstoßes dieses Unternehmens gegen die in der DSGVO vorgesehenen Pflichten bei den Zivilgerichten Klage gegen dieses Unternehmen erheben kann […] Dass Kapitel VIII DSGVO keine Bestimmungen enthält, die vorsehen, dass Mitbewerber eines Unternehmens, das gegen diese materiellen Bestimmungen verstoßen haben soll, Klage auf Unterlassung dieser Verstöße erheben können, geht darauf zurück, dass – …] – nur betroffene Personen, nicht aber diese Mitbewerber Adressaten des durch diese Verordnung gewährleisteten Schutzes personenbezogener Daten sind.“

Zusammengefasst: „Die Möglichkeit für den Mitbewerber eines Unternehmens, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten Klage auf Unterlassung eines von diesem Unternehmen angeblich begangenen Verstoßes gegen die materiellen Bestimmungen der DSGVO zu erheben, lässt diese Ziele nicht nur unberührt, sondern kann die praktische Wirksamkeit dieser Bestimmungen sogar verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern.“

Mit diesem Urteil schriebt der EuGH seine bisherige Linie zur Anwendung von Art. 9 DS-GVO und einer anzuwendenden weiten Auslegung fort. Dies wird mit Sicherheit zu einigen Unsicherheiten und neuen Anwendungsfragen führen. Erfreulich hingegen kann die Klärung des Verhältnisses zwischen Datenschutz- und Wettbewerbsrecht aufgefasst werden.

Fazit

Das Rad in der Datenschutzwelt steht nicht still. Unaufhaltsam geht die Entwicklung in Gesetzgebung, Rechtsprechung und behördlicher Praxis voran. Insbesondere Datenschutzbeauftragte in Unternehmen und Behörden sind also stets gut beraten, sich auf dem Laufenden zu halten.

Neues zum berechtigten Interesse

Max Just — Mon, 14 Oct 2024 08:00:00 +0000

Gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO ist eine Verarbeitung personenbezogener Daten dann rechtmäßig, wenn jene Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten von der Datenverarbeitung betroffener Personen überwiegen. Eine solche Interessenabwägung führt in der Datenschutz-Praxis nicht selten zu Unsicherheiten bei der Anwendung: Welche Interessen können als berechtigte Interessen angeführt werden? Inwieweit kann eine Verarbeitung auf Grundlage des berechtigten Interesses als erforderlich angesehen werden? Welche Inhalte müssen in eine Interessenabwägung einfließen? Der nachfolgende Blog-Beitrag gibt einen kurzen Überblick über jüngste Entwicklungen.

Aktuelle Entscheidung des Europäischen gerichtshofes

In einem kürzlich ergangenen Urteil des Europäischen Gerichtshofes (EuGH, Urt. v. 4. Oktober 2024, C-621/22) setzte sich das Gericht näher mit dem berechtigten Interesse auseinander. Konkret ging es im vorliegenden Fall um die Weitergabe personenbezogener Daten von Mitgliedern eines Sportverbandes zu Werbezwecken an Sponsoren. Mit Verweis auf das Urteil vom 7. Dezember 2023 (C-26/22 und C-64/22) betont der EuGH zunächst erneut, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen. Weiterhin müsse die Datenverarbeitung das mildeste Mittel zur Zweckerreichung darstellen und objektiv erforderlich sein.

Im Bezug zu dem betreffenden Fall verweist der EuGH darauf, dass legitime wirtschaftliche Interessen grundsätzlich berechtigte Interessen darstellen können. Jedoch hat der Verantwortliche darüber hinaus die Erfüllung aller weiteren Verpflichtungen der DS-GVO sicherzustellen. Insbesondere ist im Rahmen der Erforderlichkeit und hinsichtlich des Vorliegens milderer Mittel vorab zu prüfen, ob die vorherige Information und Abfrage einer Einwilligung gegenüber den betroffenen Personen ebenso möglich wären. Hierdurch könne seitens der betroffenen Personen eine bessere Kontrolle der Offenlegung ihrer personenbezogenen Daten erreicht werden. Es läge somit ein geringerer Eingriff in die Rechte der betroffenen Personen vor, wobei – nach Auffassung des EuGH – möglicherweise seitens des Verantwortlichen dennoch die verfolgten Zwecke erreicht werden könnten.

Ergänzend hebt der EuGH unter Bezugnahme des Erwägungsgrund 47 der DS-GVO hervor, dass im Rahmen der vorzunehmenden Interessenabwägung ebenfalls zu berücksichtigen ist, ob die betroffenen Personen vernünftigerweise mit der Verarbeitung ihrer personenbezogenen Daten rechnen konnten und ob eine maßgebliche und angemessene Beziehung zwischen den betroffenen Personen und dem Verantwortlichen besteht. Konkretere Darstellungen zum berechtigten Interesse lassen sich aus dem aktuellen Urteil nicht entnehmen. Mit Blick auf die Rechtssprechungspraxis des EuGH vermag dies nicht zu überraschen, den Herausforderungen in der Praxis kann hiermit jedoch nur unzureichend begegnet werden.

Leitlinien des Europäischen Datenschutzausschusses

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Specht-Riemenschneider, hingegen äußerte sich in einer aktuellen Pressemitteilung zum berechtigten Interesse für die Zukunft optimistisch und verwies in diesem Zusammenhang auf eine am 8. Oktober 2024 veröffentlichte Leitlinie des Europäischen Datenschutzausschusses (EDSA): „Die Definition des ‚berechtigten Interesses‘ ist schon seit Einführung der Datenschutz-Grundverordnung Anlass für Diskussionen. Gerade für das Verhältnis zwischen Wirtschaft und Privatpersonen ist entscheidend, wann Daten auf dieser Grundlage verarbeitet werden dürfen. Deshalb ist es sehr gut, dass der Europäische Datenschutzausschuss seine Leitlinien zu diesem Thema vorgelegt hat. Ich verspreche mir davon mehr Rechtssicherheit für die Bürgerinnen und Bürger, aber eben auch für die Unternehmen.“

Doch welche Klarstellungen erfolgen durch die Leitlinien des EDSA tatsächlich? Werfen wir einen kurzen Blick in die jüngst veröffentliche Version. Deutlich wird hierbei, dass die Leitlinie bereits die Anforderungen des EuGH aus dem Urteil vom 4. Oktober 2024 mit berücksichtigt:

Die Rechtsgrundlage des berechtigten Interesses sollte weder überdehnt werden noch als „letztes Mittel“ angesehen werden. Die Berufung auf das berechtigte Interesse setzt jedoch ein methodisches Vorgehen sowie vorab eine sorgfältige Bewertung der Verarbeitung voraus (Rn. 9).

Eine abschließende Auflistung berechtigter Interessen kann es bereits aufgrund einer fehlenden Definition innerhalb der DS-GVO nicht geben. Eine Vielzahl von Interessen können als berechtigte Interessen angesehen werden, zum Beispiel der Zugang zu Online-Informationen, die Gewährleistung des Funktionierens öffentlicher Internetseiten oder die Verarbeitung personenbezogener Daten zum Schutze des Eigentums (Rn. 16).

Ein berechtigtes Interesse kann in der Regel dann als rechtmäßig angesehen, wenn es nicht gegen europäisches Recht verstößt, klar und präzise formuliert ist und auch tatsächlich derzeit besteht. Es dürfen keine hypothetischen oder in der Zukunft gegebenenfalls vorliegenden Interessen verfolgt werden (Rn. 17).

Im Rahmen einer Interessenabwägung müssen Verantwortliche folgende Faktoren einbeziehen: die Interessen, Grundrechte und Freiheiten betroffener Personen, die Auswirkungen der Verarbeitung auf die betroffenen Personen (Art der Daten, Kontext der Verarbeitung, Folgen der Verarbeitung), die berechtigten Erwartungen betroffener Personen sowie abmildernde Maßnahmen (Rn. 32).

Eine bloße Erfüllung der Informationspflichten nach DS-GVO allein reicht nicht aus, um davon ausgehen zu können, dass die betroffene Person eine bestimmte Verarbeitung vernünftigerweise erwarten konnte. Zu berücksichtigen sind hierbei insbesondere die Beziehung zwischen Verantwortlichem und betroffener Person sowie die Eigenschaften der „durchschnittlichen“ betroffenen Person, zum Beispiel Alter, die (berufliche) Stellung und der Grad des Verständnisses im Kontext (Rn. 54).

Weiterhin wird die besondere Bedeutung der Gewährleistung von Betroffenenrechten im Kontext des berechtigten Interesses dargestellt (Rn. 61 ff.).

Auch Behörden können – in außergewöhnlichen und begrenzten Fällen – Verarbeitungen auf die Rechtsgrundlage des berechtigten Interesses stützen, soweit die Verarbeitung nicht in Erfüllung der ihnen obliegenden Aufgaben erfolgt bzw. mit Ihnen zusammenhängt (Rn. 99).

Im Rahmen der ausführlichen Darstellungen und Begründungen werden ebenfalls eine Reihe unterschiedlicher Praxisfälle eingeordnet. Insofern sind die Leitlinien auf jeden Fall als sinnvolle Orientierung für die Datenschutz-Praxis geeignet. Inwieweit sich einzelne Ausführungen in Zukunft noch geringfügig ändern werden, wird sich zeigen: Für die bereitgestellten Leitlinien des EDSA läuft bis einschließlich 20. November 2024 das öffentliche Konsultationsverfahren.