|
I. Neues aus den Datenschutzbehörden und Aktuelles
1. EU-Kommission: Finale Versionen der Musterverträge zum Data Act
2. EU-Kommission: ePrivacy-VO gescheitert
3. Bundesrat: Einwilligungsverwaltungsverordnung verabschiedet
4. DSK: Europaweite Prüfung zum Recht auf Löschung
5. DSK: Orientierungshilfe und Musterrichtlinien
6. BfDI, Berlin, Bremen, Brandenburg, Hamburg und Hessen: Tätigkeitsberichte 2024
II. Neue DSGVO-Bußgelder
1. Enforcement Tracker Report 2025 erschienen
2. Spanien: Bußgelder in Höhe von EUR 3,5 Mio. und EUR 3 Mio. wegen Nichteinhaltung datenschutzrechtlicher Prinzipien
3. Spanien: Bußgeld in Höhe von EUR 1,2 Mio. wegen unzureichender TOM
4. Frankreich: Bußgeld in Höhe von EUR 525.000 wegen fehlender Rechtsgrundlagen
5. Frankreich: Bußgeld in Höhe von EUR 40.000 wegen unangemessener Mitarbeiter-Überwachung
III. Aktuelles aus der Rechtsprechung
1. EuGH: Zur automatisierten Bonitätsbeurteilung
2. BGH: Neues zum DSGVO-Schadensersatz
3. BGH: Befugnis von Verbraucherschutzverbänden und Mitbewerbern zur Verfolgung von Datenschutzverstößen in wettbewerbsrechtlicher Klage
IV. CMS Blog-Beiträge und Weiteres
_______________________________________________________________
I. Neues aus den Datenschutzbehörden und Aktuelles
1. EU-Kommission: Finale Versionen der Musterverträge zum Data Act
Die EU-Kommission hat den Abschlussbericht der Expertengruppe zu B2B-Datenaustausch und Cloud-Computing-Verträgen veröffentlicht ("Final Report of the Expert Group on B2B data sharing and cloud computing contracts"). Herzstück des 183-seitigen Berichts sind die nicht-bindenden Mustervertragsklauseln (MCT) für verschiedene Szenarien (z.B. Dateninhaber an Nutzer) und die Standardvertragsklauseln (SCC) für wesentliche Aspekte von Cloud-Computing-Verträgen (z.B. Wechsel und Kündigung) der Kommission nach Art. 41 Data Act, die nun öffentlich verfügbar sind. Bis zum 12. September 2025 muss die EU-Kommission diese noch beschließen.
Weitere Informationen zum Data Act erhalten Sie in unserer Videoserie Data Act Unlocked.
2. EU-Kommission: ePrivacy-VO gescheitert
Der Plan der EU, die ePrivacy-Verordnung einzuführen, ist gescheitert. Am 12. Februar 2025 hat die Europäische Kommission ihr Arbeitsprogramm für 2025 vorgestellt. Im Anhang des Arbeitsprogramms heißt es, dass in diesem Verfahren keine Einigung über die ePrivacy-Verordnung zu erwarten sei. Darüber hinaus sei der Vorschlag angesichts neuerer Rechtsvorschriften sowohl technologisch als auch rechtlich überholt. Damit gelten weiterhin für das Tracking von Nutzern mithilfe von Cookies und ähnlichen Technologien die ePrivacy-Richtlinie und ihre nationalen Umsetzungen (z.B. in Deutschland das Gesetz über den Schutz digitaler Telekommunikationsdienste (TDDDG)).
3. Bundesrat: Einwilligungsverwaltungsverordnung verabschiedet
Nachdem der Bundesrat im Dezember 2024 der von der Bundesregierung verabschiedeten und auf § 26 TDDDG basierenden Einwilligungsverwaltungsverordnung zugestimmt hat, ist diese am 1. April 2025 in Kraft getreten. Durch sog. "anerkannte Dienste zur Einwilligungsverwaltung" soll die Verwaltung von Cookie-Zustimmungen im Internet vereinfacht und die Zahl der Einwilligungsbanner reduziert werden. Die anerkannten Dienste übermitteln dem Anbieter von digitalen Diensten auf Nachfrage die dauerhaft hinterlegte Entscheidung des Users, ob eine Einwilligung erteilt wird.
4. DSK: Europaweite Prüfung zum Recht auf Löschung
Wie bereits in vergangenen Ausgaben dieses Newsletters berichtet macht der Europäische Datenschutzausschuss (EDSA) das Recht auf Löschung nach Art. 17 DGSVO zum Gegenstand der koordinierten Aktion der Datenschutzbehörden für 2025. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) informierte mit Pressemitteilung vom 5. März 2025 über den aktuellen Stand der Aktion. Sowohl die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als auch weitere deutsche Datenschutzbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen und Rheinland-Pfalz beteiligen sich gemeinsam mit 32 europäischen Aufsichtsbehörden an der Aktion. Der Landesbeauftragte für den Datenschutz Niedersachsen kündigte mit Pressemitteilung vom 5. März 2025 an, auf mehrere Unternehmen verschiedener Wirtschaftszweige mit den entsprechenden Fragebögen zugehen zu wollen. Ziel der Aktion ist u.a. die Bewertung der Umsetzung des Rechts aus Art. 17 DSGVO durch Unternehmen und Behörden. Zudem möchten die Behörden einen Überblick über bewährte Vorgehensweisen von Verantwortlichen gewinnen (mehr dazu erfahren Sie hier in unserem Blog).
5. DSK: Orientierungshilfe und Musterrichtlinien
Im Juni dieses Jahres hat die DSK eine Orientierungshilfe zu KI-Systemen veröffentlicht. Hiermit gibt die DSK eine Anwendungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen und der Berücksichtigung datenschutzrechtlicher Vorgaben. Zudem hat die DSK Musterrichtlinien für das Verfahren über Geldbußen der Datenschutzbehörden beschlossen. Die Musterrichtlinien sollen eine behördenübergreifende Gleichförmigkeit der Geldbußen erreichen.
6. BfDI, Berlin, Bremen, Brandenburg, Hamburg und Hessen: Tätigkeitsberichte 2024
Am 10. April 2025 hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ihren Tätigkeitsbericht für das Jahr 2024 vorgestellt. Die BfDI berichtet schwerpunktmäßig u.a. über die Digitalisierung im Gesundheitswesen insb. zur elektronischen Patientenakte sowie Künstliche Intelligenz (KI). Die BfDI verzeichnet mit ca. 8.600 Beschwerden bei der Behörde einen Anstieg der Beschwerden.
Im Mai dieses Jahres hat zudem die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) den Jahresbericht 2024 vorgelegt – auch in Berlin war u.a. KI eines der Topthemen. Außerdem beschäftigte sich die BlnBDI mit eingesetzter Videoüberwachung und einem biometrischen Gesichtserkennungssystem im öffentlichen Raum. Auch die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg hat in diesem Frühjahr den Tätigkeitsbericht für das vergangene Jahr fertiggestellt und sich umfangreich mit KI sowie mit Videoüberwachung und Gesichtserkennung beschäftigt. Weitere Themen in Brandenburg waren u.a. der unberechtigte Versand von Newslettern sowie der Aushang von Krankentagen von Arbeitnehmern in einem Unternehmen. Der Landesbeauftragte für Datenschutz aus Bremen hat ebenfalls seinen Tätigkeitsbericht 2024 veröffentlicht und nennt u.a. Themen des Beschäftigten- und Schuldatenschutzes als einige der Schwerpunkte des vergangenen Jahres. In Hessen hat die dortige Beauftragte für Datenschutz und Informationsfreiheit (HBDI) den Tätigkeitsbericht für das vorherige Jahr im Mai 2025 vorgelegt.
Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmBfDI) hat Anfang April 2025 seinen Tätigkeitsbericht für das Vorjahr vorgestellt. Dem Bericht zufolge ist die Anzahl der Datenschutzbeschwerden auf 4.237 (darunter über 900 Datenpannen) gestiegen, während sich die DSGVO-Bußgelder im Jahr 2024 auf EUR 1,2 Mio. beliefen. Eines der Top-Themen des Jahres 2024 war auch in Hamburg das Thema KI sowie Gesichtserkennungssysteme.
II. Neue DSGVO-Bußgelder
1. Enforcement Tracker Report 2025 erschienen
Die 6. und neueste Ausgabe unseres CMS Enforcement Tracker Reports 2025 ist erschienen und ermöglicht Ihnen einen Deep-Dive in die Welt der Bußgelder nach der europäischen DSGVO. Die von uns im CMS Enforcement Tracker gesammelten Bußgelder werten wir kontinuierlich aus und geben Ihnen mit dem Report einen jährlichen Überblick über die Ergebnisse.
2. Spanien: Bußgelder in Höhe von EUR 3,5 Mio. und EUR 3 Mio. wegen Nichteinhaltung datenschutzrechtlicher Prinzipien
Ein DSGVO-Bußgeld in Höhe von EUR 3 Mio. verhängte die spanische Datenschutzbehörde im Februar dieses Jahres infolge eines Cyberangriffs, welcher zur Kompromittierung von Millionen Kundendaten führte. Die verantwortliche Stelle des Konzerns hatte es der Datenschutzbehörde zufolge versäumt, ausreichende Sicherheitsmaßnahmen zu ergreifen, um den Vorfall zu verhindern. Gegen den Verantwortlichen für die betroffene Webanwendung verhängte die Datenschutzbehörde ebenfalls im Februar 2025 ein DSGVO-Bußgeld in Höhe von EUR 3,5 Mio.
3. Spanien: Bußgeld in Höhe von EUR 1,2 Mio. wegen unzureichender TOM
Ebenfalls in Spanien hat die Datenschutzbehörde im Februar dieses Jahres ein DSGVO-Bußgeld in Höhe von EUR 1,2 Mio. verhängt. Das Verfahren wurde angestoßen durch eine Einzelperson, die eine Beschwerde bei der Datenschutzbehörde eingereicht hat, weil das Unternehmen ein Duplikat einer SIM-Karte ohne Zustimmung an einen nicht autorisierten betrügerischen Dritten weitergegeben hatte. Während ihrer Untersuchung wurde festgestellt, dass das Unternehmen die Prüfung der Identität des Dritten sowie die Einholung der Einwilligung des Betroffenen versäumt hatte. Betrüger konnten sich in der Folge Zugang zum Bankkonto der betroffenen Person verschaffen.
4. Frankreich: Bußgeld in Höhe von EUR 525.000 wegen fehlender Rechtsgrundlagen
In Frankreich erhielt ein Unternehmen von der französischen Datenschutzbehörde einen Bescheid über ein DSGVO-Bußgeld in Höhe von EUR 525.000 wegen fehlender Rechtsgrundlage für die Datenverarbeitung. Das mit dem Bußgeld belegte Unternehmen hatte Daten von Datenbrokern für kommerzielle Akquisekampagnen verwendet, ohne dabei sicherzustellen, dass die Betroffenen eine gültige Einwilligung erteilt hatten. Die Ermittlungen ergaben, dass die Formulare der Datenbroker irreführend gestaltet waren, was einer rechtmäßigen Einwilligung der Betroffenen entgegenstand. Darüber hinaus hat das Unternehmen die Betroffenen nicht ausreichend über die Verwendung der personenbezogenen Daten informiert.
5. Frankreich: Bußgeld in Höhe von EUR 40.000 wegen unangemessener Mitarbeiter-Überwachung
Die französische Datenschutzbehörde belegte im Februar dieses Jahres ein Unternehmen mit einem DSGVO-Bußgeld in Höhe von EUR 40.000, weil hier eine Software "Zeiten der Inaktivität" von Mitarbeitern aufzeichnete und regelmäßig Screenshots von den Computern der Mitarbeiter machte, die von zu Hause arbeiteten. Das Programm erkannte dabei automatisch, wenn ein Mitarbeiter über einen Zeitraum von 3 bis 15 Minuten keine Tastatur- oder Mausbewegungen machte. Zudem wurden die Mitarbeiter in den Büros des Unternehmens kontinuierlich gefilmt. Diese Maßnahmen wurden als unverhältnismäßig und als Verstöße gegen Anforderungen an die Datensicherheit eingestuft. Das Unternehmen hatte die Mitarbeiter außerdem nicht angemessen über die Überwachung informiert und keine Datenschutz-Folgenabschätzung durchgeführt.
III. Aktuelles aus der Rechtsprechung
1. EuGH: Zur automatisierten Bonitätsbeurteilung
Mit Urteil vom 27. Februar 2025 hat der Gerichtshof der Europäischen Union (EuGH) entschieden (C-203/22), dass eine automatisierte Bonitätsbeurteilung transparent gestaltet sein muss. Dem Verfahren liegt ein Sachverhalt aus Österreich zugrunde, in dem ein Mobilfunkanbieter einer Kundin den Abschluss eines Vertrags mit dem Argument verweigerte, dass sie über keine ausreichende Bonität verfüge. Die betroffene Person habe das Recht zu erfahren, wie die Entscheidung zustande kam, um sie nachvollziehen und anfechten zu können. Der für die Datenverarbeitung Verantwortliche muss dem EuGH zufolge das Verfahren und die konkret angewendeten Grundsätze, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten für die automatisierte Entscheidungsfindung auf welche Art verwendet wurden. Geschäftsgeheimnisse und geschützte Daten müssen dem Gericht oder der Aufsichtsbehörde zur Abwägung der Rechte übermittelt werden. Der EuGH betont zudem, dass die DSGVO nationalen Bestimmungen entgegensteht, die das Auskunftsrecht aus Art. 15 DSGVO bei Geschäftsgeheimnissen grundsätzlich ausschließen.
2. BGH: Neues zum DSGVO-Schadensersatz
Es gibt neue Urteile des BGH zum datenschutzrechtlichen Schadenersatzanspruch aus Art. 82 DSGVO: Am 28. Januar 2025 (VI ZR 109/23) entschied der Bundesgerichtshof (BGH), dass die Zusendung einer Werbe-Mail ohne Einwilligung des Empfängers keinen Anspruch auf Schadensersatz auslöst. Laut BGH ließ sich aus dem Vortrag des Klägers für das Berufungsgericht nicht ableiten, dass diesem durch die unbefugte Nutzung seiner E-Mail-Adresse ein immaterieller Schaden entstanden sei. Es wurde weder ein Kontrollverlust festgestellt noch konnte die von dem Kläger geäußerte Befürchtung eines solchen ausreichend substantiiert werden. Ebenfalls am 28. Januar 2025 hat der BGH zu der Übermittlung von Daten an eine Auskunftei durch ein Telekommunikationsunternehmen entschieden. Zu dem Zeitpunkt der Übermittlung war der geltend gemachte Zahlungsanspruch zwischen den Parteien strittig. Im Rahmen einer Widerklage gegen den geltend gemachten Anspruch auf Zahlung machte die betroffene Person DSGVO-Schadensersatzansprüche geltend. Die Entscheidung des BGH betraf in erster Linie die Höhe des Schadensersatzes. Obwohl das OLG bei seiner Entscheidung auf eine abschreckende Funktion des Art. 82 DSGVO abstellte, die dieser Vorschrift mit reiner Ausgleichsfunktion nicht zukommt, wirke sich dies dem BGH zufolge jedoch nicht zum Nachteil der Beklagten aus. Insgesamt sei ein Schadensersatzanspruch in Höhe von 500 Euro angemessen.
Weitere neue Gerichtsentscheidungen zu Art. 82 DSGVO finden Sie in unserer aktualisierten Übersicht zur Rechtsprechung zum DSGVO-Schadensersatz: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de).
3. BGH: Befugnis von Verbraucherschutzverbänden und Mitbewerbern zur Verfolgung von Datenschutzverstößen in wettbewerbsrechtlicher Klage
Der BGH hat mit Urteil vom 27. März 2025 (I ZR 186/17) entschieden, dass ein Social-Media-Anbieter gegen Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 lit. c) und lit. e) DSGVO verstößt, da dieser die Nutzer nicht ausreichend über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form sowie über die Rechtsgrundlage für die Verarbeitung und die Empfänger der persönlichen Daten informiert hatte. Dies stellt dem BGH zufolge einen wettbewerbsrechtlichen Verstoß gemäß § 5a Abs. 1 UWG dar, der von Verbraucherschutzverbänden vor den Zivilgerichten verfolgt werden kann. An demselben Tag hat der BGH in zwei weiteren Entscheidungen (I ZR 222/19, I ZR 223/19) festgestellt, dass Apotheker, die auf einer Online-Plattform Medikamente vertreiben, gegen datenschutzrechtliche Bestimmungen verstoßen, wenn sie ohne ausdrückliche Einwilligung der Kunden deren Bestelldaten erheben und nutzen. Bei den Bestelldaten handelt es sich dem BGH zufolge um Gesundheitsdaten im Sinne des Art. 9 DSGVO. Diese Verstöße können laut BGH von konkurrierenden Apothekern mittels wettbewerbsrechtlicher Klagen verfolgt werden. Das Gericht bestätigte, dass Art. 9 Abs. 1 DSGVO eine Marktverhaltensregelung im Sinne von § 3a UWG darstellt.
IV. CMS Blog-Beiträge und Weiteres 1. Auf CMSdigitallaws.com können Sie ab sofort mit dem Volltext und den verlinkten Erwägungsgründen der DSGVO in deutscher und englischer Sprache arbeiten. 2. CMS Client Academy | Künstliche Intelligenz – Grundlagen | E-Learning und CMS Client Academy | Einführung in den Datenschutz | E-Learning. 3. Update: KI-Kompetenz gemäß KI-VO als zentraler Bestandteil der KI-Compliance im Unternehmen. 4. Auslistungsbegehren gegen Suchmaschinenbetreiber. 5. Treat first what kills first: erfolgreiches Datenschutzmanagement durch klare Schwerpunktsetzung. 6. Data Act Durchführungsgesetz: BNetzA soll Vollzugsbehörde werden. 7. Cyber Resilience Act – Auswirkungen auf die Vertragsgestaltung entlang der Lieferkette. 8. Threat to EU-U.S. Data Privacy Framework: Analysis & Recommendations. 9. Webinar: "Challenging but possible - Geolocation Data Sharing from China under the EUDR". 10. Whitepaper von CMS und Accenture: "Cloudlösungen für die Registermodernisierung - rechtssicher, föderal, effizient". 11. Mit unserer CMS Blog-Serie KI bleiben Sie zu allen relevanten Themen auf diesem Gebiet auf dem Laufenden, neue Beiträge sind u.a.: „KI-Systeme“ i.S.d. KI-Verordnung: Begriff und Definition, Cybersicherheit von Hochrisiko-KI und der Cyber Resilience Act, Die KI-Pläne der EU-Kommission.
|
