|
I. Neues aus den Datenschutzbehörden und Aktuelles 1. EDPB: Stellungnahme zur Verarbeitung personenbezogener Daten im Rahmen der Entwicklung und Nutzung von KI-Modellen 2. BfDI: Datenschutzpolitische Agenda für die 21. Legislaturperiode 3. BfDI: Arbeitspapiere der Berlin Group zu LLM und zu Data Sharing 4. Bundesrat: Einwilligungsverwaltungsverordnung verabschiedet 5. Rheinland-Pfalz: Initiative „Mit Sicherheit gut behandelt“
II. Neue DSGVO-Bußgelder
1. Irland: Bußgeld in Höhe von EUR 251 Mio. wegen unzureichender TOM 2. Irland: Bußgeld in Höhe von EUR 310 Mio. wegen unzureichender Rechtsgrundlage für die Datenverarbeitung
III. Aktuelles aus der Rechtsprechung
1. Neues zum DSGVO-Schadensersatz 2. EuG: EU-Kommission zu Schadensersatz verurteilt 3. EuGH: Geschlechtsidentität des Kunden nicht erforderlich für den Erwerb eines Fahrscheins
IV. CMS Veranstaltungen, spannende Blog-Beiträge und Weiteres I. Neues aus den Datenschutzbehörden und Aktuelles
1. EDPB: Stellungnahme zur Verarbeitung personenbezogener Daten im Rahmen der Entwicklung und Nutzung von KI-Modellen
Im Dezember vergangenen Jahres hat der Europäische Datenschutzausschuss (EDPB) eine Stellungnahme zur Verarbeitung personenbezogener Daten im Rahmen der Entwicklung und Nutzung von KI-Modellen veröffentlicht (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models). In dieser äußern sich die europäischen Datenschutzbehörden zu zentralen datenschutzrechtlichen Fragen im Zusammenhang mit der Entwicklung und Nutzung von KI-Modellen. In der Stellungnahme enthalten ist ein dreistufiger Test, der Verantwortlichen bei der Frage helfen soll, ob sie sich als Rechtsgrundlage auf das berechtigte Interesse beziehen können. Die Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und Baden-Württemberg begrüßen die Stellungnahme in einer gemeinsamen Pressemitteilung, auch wenn nicht alle datenschutzbezogenen Rechtsfragen im Hinblick auf KI abschließend beantwortet werden. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat hierzu ebenfalls eine Pressemitteilung veröffentlicht. Einen Überblick über die Stellungnahme finden Sie in unserem Blog (Datenschutz und KI: Datenschutzbehörden beantworten wichtige Fragen).
2. BfDI: Datenschutzpolitische Agenda für die 21. Legislaturperiode
Ende des Jahres 2024 hat die BfDI anlässlich der bevorstehenden Bundestagswahl eine datenschutzpolitische Agenda für die nächste Legislaturperiode vorgelegt. In der Agenda nennt die BfDI Themen, die die Parteien sowohl in den Wahlprogrammen als auch in einem Koalitionsvertrag aufnehmen sollten. Hierzu zählen u.a. die Einrichtung eines Digitalministeriums, rechtssicheres Training und Nutzung von KI, Datenschutz by design sowie ein Beschäftigtendatengesetz, aber auch digitale Gesundheitsvorsorge und der digitale Euro zählen zu den aus Sicht der BfDI besonders wichtigen Themen.
3. BfDI: Arbeitspapiere der Berlin Group zu LLM und zu Data Sharing
Unter dem Vorsitz der BfDI hat die Berlin Group, eine internationale Arbeitsgruppe für Datenschutz in der Technologie, zwei neue Arbeitspapiere angenommen. Ein Papier betrifft datenschutzrechtliche Risiken bei Large Language Models (LLM). Das andere Papier dreht sich um das Thema Data Sharing und soll zu einem sicheren und geschützten Datenaustausch unter Wahrung der datenschutzrechtlichen Grundsätze beitragen.
4. Bundesrat: Einwilligungsverwaltungsverordnung verabschiedet
Im Dezember vergangenen Jahres hat der Bundesrat der von der Bundesregierung verabschiedeten Einwilligungsverwaltungsverordnung zugestimmt. Durch sogenannte „anerkannte Dienste zur Einwilligungsverwaltung“ soll die Verwaltung von Cookie-Zustimmungen im Internet vereinfacht werden und die Zahl der Einwilligungsbanner langfristig sinken. Die anerkannten Dienste sollen die Entscheidung des Users, ob eine Einwilligung erteilt wird oder nicht, auf Nachfrage dem Anbieter von digitalen Diensten übermitteln. Die BfDI informiert auf ihrer Homepage über den Antrag auf Anerkennung als Dienst zur Einwilligungsverwaltung.
Kritisch zu der Verordnung äußerte sich der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) in einer Pressemitteilung vom 27. Dezember 2024: Die Verordnung verfehle ihr Ziel und lasse einige der in der Vergangenheit von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) geäußerten Kritikpunkte unberücksichtigt. So seien beispielsweise weiterhin Einwilligungsbanner notwendig und die Einwilligungsverwaltungsdienste deckten lediglich Einwilligungen nach § 25 TDDDG, nicht aber Einwilligungen nach der DSGVO ab.
5. Rheinland-Pfalz: Initiative „Mit Sicherheit gut behandelt“
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat 2025 im Rahmen der zusammen mit der kassenärztlichen Vereinigung Rheinland-Pfalz, der Landesärztekammer Rheinland-Pfalz und der Landespsychotherapeutenkammer Rheinland-Pfalz ins Leben gerufenen Initiative „Mit Sicherheit gut behandelt“ mit monatlichen Praxistipps für Ärztinnen, Ärzte, Psychotherapeutinnen und Psychotherapeuten gestartet. Der erste Praxistipp beschäftigt sich mit dem DSGVO-Auskunftsanspruch. Weitere Tipps zur Nutzung von E-Mails in der Praxis, Einwilligung und Cloud-Nutzung sollen folgen.
II. Neue DSGVO-Bußgelder
1. Irland: Bußgeld in Höhe von EUR 251 Mio. wegen unzureichender TOM
In Irland ist der Betreiber einer Social-Media-Plattform Adressat eines Bußgelds in Höhe von EUR 251 Mio. wegen fehlender geeigneter technischer und organisatorischer Maßnahmen (TOM) geworden. Der irischen Datenschutzbehörde (DPC) zufolge resultiere ein DSGVO-Verstoß aus der Ausnutzung von Benutzer-Token auf der Plattform durch unbefugte Dritte. Die DPC stellte fest, dass gegen Art. 33 DSGVO (11 Mio. EUR) verstoßen worden sei, da beispielsweise Informationen in der Meldung über die DSGVO-Verstöße fehlten. Zudem stellte die DPC Verstöße gegen Art. 25 DSGVO (240 Mio. EUR) fest und kam zu dem Schluss, dass bei der Gestaltung von Verarbeitungssystemen nicht dafür gesorgt worden sei, dass die Datenschutzgrundsätze geschützt seien, und dass den Pflichten als Verantwortlicher nicht nachgekommen worden sei, standardmäßig nur personenbezogene Daten zu verarbeiten, die für bestimmte Zwecke erforderlich sind.
2. Irland: Bußgeld in Höhe von EUR 310 Mio. wegen unzureichender Rechtsgrundlage für die Datenverarbeitung
Ebenfalls in Irland wurde ein Bußgeld in Höhe von EUR 310 Mio. nach der DSGVO ausgesprochen. Adressat des Bußgelds ist der Betreiber eines beruflichen sozialen Netzwerks, der keine gültige Rechtsgrundlage für die Verarbeitung von Nutzerdaten zum Zwecke der Verhaltensanalyse und gezielten Werbung habe. Die DPC bejahte unter anderem Verstöße gegen Art. 6 Abs. 1 lit. a) DSGVO und Art. 6 Abs. 1 lit. f) DSGVO sowie gegen Art. 13 Abs. 1 lit. c) DSGVO und Art. 14 Abs. 1 lit. c) DSGVO.
III. Aktuelles aus der Rechtsprechung
1. Neues zum DSGVO-Schadensersatz
Zum datenschutzrechtlichen Schadenersatzanspruch aus Art. 82 DSGVO hat sich um den Jahreswechsel herum einiges getan.
Der BGH hat ein Verfahren aus dem Scraping-Komplex zum ersten Leitentscheidungsverfahren bestimmt und mit Urteil vom 18. November 2024 (VI ZR 10/24) zu Art. 82 DSGVO entschieden, dass bereits ein bloßer und kurzzeitiger Kontrollverlust über personenbezogene Daten infolge eines DSGVO-Verstoßes ein immaterieller Schaden sein könne. Hierfür müsse weder eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein, noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen für den Betroffenen. Einen in diesen Fällen zu leistenden Schadensersatz bezifferte der BGH auf EUR 100. Damit setzt der BGH die Anforderungen für den immateriellen Schadensersatz gemäß Art. 82 DSGVO deutlich niedriger an als bisher einige Instanzgerichte, sodass mit einer Zunahme von Klagen bei DSGVO-Verstößen zu rechnen sein kann.
Der BGH-Rechtsprechung folgten die ersten deutschen Gerichte und sprachen in den sog. Scraping-Fällen teilweise Beträge in Höhe von EUR 100 zu, z.B. OLG Dresden, Urteil vom 10. Dezember 2024 – 4 U 808/24. Aber auch nach diesem Urteil des BGH lehnten einige Gerichte einen Schadensersatzanspruch der Betroffenen weiterhin ab, beispielsweise mit der Begründung, dass kein Schaden vorliege, z.B. OLG Hamm, Urteil vom 22. November 2024 – 25 U 33/24.
2. EuG: EU-Kommission zu Schadensersatz verurteilt
Eine weitere spannende Gerichtsentscheidung betraf zwar nicht Art. 82 DSGVO, wohl aber die entsprechende Vorschrift des Art. 46 der EU-Datenschutz-Verordnung, da hier die EU-Kommission die Beklagte in dem Verfahren war. Die Kommission wurde mit Entscheidung des EuG vom 8. Januar 2025 (T-354/22) verurteilt, an den Betroffenen Schadensersatz in Höhe von EUR 400 zu leisten. Mittels eines auf der Website verwendeten Benutzerauthentifizierungsdienst „EU Login“ Hyperlinks hatte diese die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Klägers an ein US-amerikanisches Unternehmen, das eine Social-Media-Plattform betreibt, übermittelt wurde. Zu dem Zeitpunkt der Datenübermittlung lag noch kein Angemessenheitsbeschluss der EU-Kommission für die USA vor. Das EuG bejaht den geltend gemachten Kontrollverlust des Klägers, lehnte aber einen weiteren Antrag des Klägers auf EUR 800 als Ersatz des immateriellen Schadens ab, der ihm dadurch entstanden sei, dass die Kommission gegen Art. 14 Abs. 3 und 4, Art. 17 Abs. 1 und 2 und Art. 4 Abs. 1 lit. a) der EU-Datenschutz-VO verstoßen habe.
3. EuGH: Geschlechtsidentität des Kunden nicht erforderlich für den Erwerb eines Fahrscheins
Mit Urteil vom 9. Januar 2025 hat der EuGH in der Rechtssache C-394/23 auf eine Vorlage aus Frankreich entschieden, dass die Geschlechtsidentität des Reisenden keine für den Erwerb eines Fahrscheins erforderliche Angabe ist. In dem dem Verfahren zugrunde liegenden Sachverhalt hatte der Verkäufer beim Online-Erwerb der Fahrkarten verpflichtend von den Reisenden gefordert, zwischen der Anrede „Herr“ oder „Frau“ zu wählen. Dies entspricht nicht dem Grundsatz der Datenminimierung, so der EuGH, da die einer Geschlechtsidentität entsprechenden Anrede nicht erforderlich und nicht objektiv unerlässlich sei, um einen Fahrschein zu erwerben.
IV. CMS Veranstaltungen, spannende Blog-Beiträge und Weiteres
1. Webinare: Das Barrierefreiheitsstärkungsgesetz (BFSG) – Wer ist verpflichtet und was gilt es nun zu beachten? und Datenschutz in der KI-Entwicklung und -Nutzung - Die Balance zwischen Innovation und Verantwortung 2. Lunch Roundtable DSGVO am 05. Februar 2025 in München, am 12. Februar 2025 in Frankfurt, am 19. Februar 2025 in Berlin und am 26. Februar 2025 in Stuttgart. 3. CMS Client Academy | Künstliche Intelligenz – Grundlagen | E-Learning und CMS Client Academy | Einführung in den Datenschutz | E-Learning. 4. 2025 – Themen, die Sie bewegen werden | CMS Deutschland: BGH urteilt zu Kontrollverlust über personenbezogene Daten, Anwendbarkeit des Data Act ab September 2025, Barrierefreiheit wird auch für die Privatwirtschaft Pflicht und KI – ein Aus- und Rückblick auf wichtige Rechtsentwicklungen. 5. Podcast: Litigation Matters: BGH zum DSGVO-Schadenersatz in Sachen Scraping – Rückenwind für Einzel- und Sammelklagen? | CMS To Go. 6. Datenschutz und KI: Datenschutzbehörden beantworten wichtige Fragen. 7. Art. 17 DSGVO in der nächsten koordinierten Aktion des EDSA. 8. Die neue Technologietransfer-Gruppenfreistellungsverordnung (TT-GVO). 9. Mit unserer CMS Blog-Serie KI bleiben Sie zu allen relevanten Themen auf diesem Gebiet auf dem Laufenden. 10. Unser Blogbeitrag Das Datenschutzjahr 2024 blickt zurück auf die datenschutzrechtlichen Entwicklungen des Jahres 2024 und wagt einen Ausblick auf die Entwicklungen im Jahr 2025. 11. Unsere Übersicht zur Rechtsprechung zum DSGVO-Schadensersatz wurde aktualisiert: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de). 12. Mit CMS Digital Laws können Sie neben dem DSA und dem Data Governance Act auch mit den Volltexten der KI-Verordnung und der P2B-Verordnung in deutscher und englischer Sprache arbeiten. Weitere Inhalte folgen!
|
