5.000 € Entschädigung für umfassendes Tracking – DS News KW 28/2025

Transkript zur Folge:

Die von Neub, einer österreichischen Organisation, das mache ich nochmal neu.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 11. Juli 2025.
Mein Name ist Heiko Gossen und...
Mein Name ist Laura Droschinski. Hallo.
Unser Redaktionsschluss war wie immer um 10 Uhr Und wir schauen mit euch gemeinsam
auf die Woche des Datenschutzes, was es so wieder Spannendes gab.
Ja, und ich würde sagen, Laura, wir gucken mal, was wir so alles haben, oder?
Ja, und zwar habe ich diese Woche eine Nachricht mitgebracht aus Belgien.
Hier bekommt Neub ein bisschen Gegenwind. Weiter geht es mit einer neuen Untersuchung
gegen TikTok. Dann habe ich noch etwas aus der Rubrik Kuriosus mal wieder mitgebracht
und zu guter Letzt eine Veröffentlichung.
Ja, sehr schön. Ich hätte eine Entscheidung aus Leipzig, 5.000 Euro Entschädigung,
die Meta zahlen muss aufgrund von Tracking.
Und ich schaue einmal auf ein Konsultationsverfahren der Bundesbeauftragten
für den Datenschutz und hätte noch eine Veranstaltung im Gepäck.
Bevor wir aber loslegen, Heiko, mir hat ein Vögelchen gezwitschert.
Es steht die nächste Themenfolge in den Startlöchern. Kannst du was dazu erzählen?
Ja, in der Tat. Ich habe mit Prof. Dr.
Tobias Keber, seines Zeichens ja Landesdaten-Schutzbeauftragter in Baden-Württemberg,
eine Folge aufgenommen zu der Diskussion und dem, was auch im Koalitionsvertrag
steht, nämlich zu der Idee, erneuten Idee muss man dazu sagen,
die Aufsichtsstruktur in Deutschland zu verändern.
Im Koalitionsvertrag steht ja drin, dass man sie bündeln möchte.
Da hatten wir ja auch hier in unseren News schon zu berichtet.
Und Professor Keber, mit dem habe ich mich halt so ein bisschen darüber ausgetauscht,
wie das aussehen könnte, wo die Vor- und Nachteile liegen.
Von meiner Seite würde ich sagen, eine hörenswerte Folge. Aber ich zugegebenermaßen
bin natürlich voreingenommen.
Bin aber sehr gespannt, was natürlich auch die Zuhörenden zu dem Thema denken.
Von daher würde ich vorschlagen, hört auf jeden Fall rein. Nächste Woche geht
sie online, wahrscheinlich Dienstagmorgen.
Und ja, freue mich dann natürlich auch auf zahlreiche Kommentare dazu auf unserer
Themenfolgen-Seite, die in der Show Notes natürlich dann auch verlinkt sein wird.
Ja, ich glaube, das ist sicher, dass du da Feedback bekommen wirst.
Wenn nicht nur von unseren Zuhörerinnen und Zuhörerinnen auch sicherlich aus dem Team.
Ich freue mich schon drauf. Sehr schön. Dann soll ich mal anfangen?
Genau, würde ich sagen, gehen wir starten, Mama.
Die belgische Datenschutzaufsichtsbehörde hat 16 Beschwerden aus insgesamt 5
Verfahren eingestellt, die von Neub eingereicht wurden.
Die Aufsicht hat die Beschwerden abgewiesen, weil die belgische Gesetzgebung
es Vereinigungen wie Neub nur erlaubt, Beschwerden als Vertreter eines betroffenen
Bürgers einzureichen, nicht aber im eigenen Namen.
Entscheidend für die Aufsicht ist der Verweis auf Artikel 80 Absatz 1 des GVO,
wo es eben heißt, dass eine Vertretung durch eine Organisation nur dann zulässig
ist, wenn die betroffene Person selbst eine Verletzung ihrer Rechte erkennt
und sich bewusst vertreten lässt.
Vorgefertigte Beschwerden und Strohpersonen untergraben dieses Prinzip und das
wird hier neu vorgeworfen.
Die Aussicht beruft sich dabei auf die Rechtsprechung des höchstbelgischen Gerichts.
Dieses hatte bereits in Vergangenheit bestätigt, dass das DSGVO-Beschwerderecht
dem Prinzip des Rechtsmissbrauchs unterliegt. Das ist ja auch nicht neu.
Und das Markengericht, eben eine spezielle Kammer des Brüsseler Berufungsgerichts,
hatte in einem Urteil vom 19.
März festgestellt, dass neu beim Einreichen von Beschwerden gegen das Unternehmen
Media-Hüß bezüglich Cookie-Brennern Rechtsmissbrauch betrieben hatte.
Neub hatte mit automatisierter Technik mutmaßliche Verstöße identifiziert.
Vorformulierte Beschwerden erstellt und diese über Dritte auch Mitarbeitende eingereicht.
Die belgische Behörde sieht darin ein strategisches Vorgehen,
das aber die zulässige Verbandsvertretung hinausgeht und letztlich das Beschwerdesystem
der DSGVO unterwandert.
Die Aufsicht betont, dass Organisationen wie Neub einen wichtigen Beitrag zum
Datenschutz leisten und rechtmäßig Betroffene durchaus auch vertreten können.
Daher sei jetzt hier festgestellt worden, dass eben die Abweisung kein Automatismus
ist und dass Neub auch bei Zweifeln am Rechtsmissbrauch die Möglichkeit der Stellungnahme hätte.
Aber in diesen Fallen ist eben die Meinung der Aufsicht erstmal gesetzt.
Was ich halt eigentlich auch ganz gut finde, dass in dem Zusammenhang die Aufsicht
auch nochmal für eine Gesetzesänderung ausgesprochen hatte, die beispielsweise
halt Datenschutzorganisationen in Belgien erlauben würden,
Beschwerden im eigenen Namen einzureichen, da dies angesichts der wohl jährlich
über 100.000 TSGVO-Beschwerden durchaus eine wichtige Rolle spielen würde.
Kennen wir ja auch schon aus Deutschland, das Verbandsklagerecht in dem Zusammenhang.
Also kann auch durchaus sein, dass hier Belgien durchaus nachzieht.
Schöner Bezug zu der Themenfrage, die wir gerade angesprochen haben,
weil da habe ich mit Professor Keber gesprochen,
dass wir natürlich da bei den Aufsichtsbehörden einfach auch eine sehr große
Anzahl an Beschwerden haben.
Also er sprach auch so von 70.000, 100.000 sind natürlich nochmal eine Nummer mehr.
Ich weiß halt nicht, also wenn das natürlich in solchen Organisationen gebündelt
wird, kann das ja auch für die Aufsichtsbehörden dann auch einfacher werden,
weil sie halt nicht mehr, weil sie nicht 1.000 Einzelbeschwerden dann bearbeiten
müssen, sondern das halt dann gebündelt von so einer Organisation bekommen.
Auf der anderen Seite ist es natürlich auch fraglich, wie viel bringt es halt,
wenn die natürlich Anfragen generieren, die, wie gesagt, und das ist von daher
auch nachvollziehbar, finde ich, in dem Urteil,
dass es halt nicht darum geht, Anfragen und Beschwerden zu generieren und sich
dafür dann die Betroffenen zu suchen.
Von daher konsequent. Das Landgericht Leipzig hat Meta-Plattforms Ireland zu
einer Entschädigung von 5000 Euro wegen massiven Datenschutzverstößen verurteilt.
Das Gericht hat nämlich entschieden, dass die Nutzung von den Meta-Business-Tools,
das die Nutzeraktivitäten auf Drittseiten erfasst, gegen die DSGVO-Verstöße.
Das Besondere daran, es wurde erstmals ein sehr hoher immaterieller Schadensersatz
zugesprochen, ohne dass der Kläger konkrete individuelle Beeinträchtigungen nachweisen musste.
Das Gericht vertritt die Auffassung, dass die Höhe des nach Artikel 82 DSGVO
auszulegenden Schmerzensgeldes die in der nationalen Rechtsprechung etablierten
Beträge übersteigen müsse.
Und deswegen hat man hier bei der Festlegung der Schadenshöhe auch auf den enormen
finanziellen Wert personenbezogener Daten für Zwecke der personalisierten Werbung
Bezug genommen. Dies wird natürlich durch Metas Werbeeinnahmen untermauert.
Laut Gericht spiegelt es auch die gesellschaftliche Wahrnehmung des Datenwerts wieder.
Interessant, allein der Gewinn von Meta lag 2021 bei über 115 Milliarden US-Dollar,
was by the way 97 Prozent des gesamten Umsatzes ausmachte. Also ich nenne es
mal eine ganz gute Rendite.
Und deswegen stellte das Gericht auch fest, dass die besonders umfangreiche
Datenverarbeitung potenziell unbegrenzte Datenmengen auch betrifft und eine
nahezu vollständige Überwachung des Online-Verhaltens nach sich zieht,
bei Nutzern das Gefühl einer kontinuierlichen Überwachung des gesamten Privatlebens hervorruft.
Also man hat hier quasi auch schon den Schaden im Urteil anscheinend mitformuliert.
Über die Business Tools haben wir ja schon berichtet. Von daher würde ich jetzt
gar nicht weiter nochmal erklären.
Sie sind zumindest so viel in Kürze. Sie sind ja bei einer Vielzahl von Webseiten
im Einsatz, die dann das Nutzerverhalten an Meta übermittelt,
selbst wenn man halt nicht bei Meta im Social Media Account irgendwie eingeloggt ist.
Deswegen stellte das Gericht halt nochmal fest, dass die,
Meta natürlich dadurch jederzeit erkennen kann, sobald halt eine Webseite diese
Tools eingebettet hat, ob der Nutzer halt wiederkehrend ist und auf welchen
anderen Webseiten er unterwegs ist.
Und da die Daten dann auch ja letztendlich in einem eher unbekannten Umfang
ausgewertet werden, hat das Gericht halt diese hohe Entschädigungssumme damit dann auch begründet.
Und bemerkenswert vielleicht auch noch an der Stelle ist, dass das Landgericht
Leipzig auf eine Anhörung des Klägers nochmal verzichtet hat,
sagte, ein allgemeines eher diffuses Gefühl des Datenverlustes und der Verunsicherung,
davon geht man aus, dass das vorgetragen würde und dass darüber hinaus keine
weiteren Erkenntnisse zu erwarten gewesen wären.
Und dann entsprechend diese Mindestentschädigung von 5000 Euro formuliert hat,
für die allgemeine Betroffenheit des
aufmerksamen und verständigen Durchschnittsbetroffenen im Sinne der DSGVO.
Also wie gesagt, man hat da relativ bewusst,
finde ich, und das geht auch so aus der Pressemitteilung des Landgerichts hervor,
entschieden, hier eine sehr hohe Summe zu definieren und auch wohl wissend,
dass das eine Klagewelle nach sich ziehen kann, weil man halt hier,
wie gesagt, die Anforderungen an den Nachweis eines Schadens ja gar nicht formuliert
hat und auf der anderen Seite natürlich auch weiß,
dass es eine Vereinevielzahl an Usern gibt,
die sicherlich dann von diesen Klagemöglichkeiten vielleicht auch Gebrauch machten.
Ja, wie du schon sagst, das ist ja jetzt im Vergleich zu dem wahrscheinlich
im vergangenen Jahr ja auch schon eine immense Steigerung an Schadensersatz.
Genau, also wenn man jetzt die 100 Euro nimmt aus der BGH-Leitentscheidung,
5000, das ist schon massiv. Von daher...
Ich gehe mal natürlich auch sehr schwer davon aus, dass Meta hier das nicht so stehen lassen wird.
Da ist, glaube ich, wieder eine sicherheitsgrenzende Wahrscheinlichkeit von
auszugehen, dass man Rechtsmittel einlegen wird.
Und wenn man sich natürlich auch hier anschaut, dass das Gericht wirklich nicht
irgendwelche Schäden sich hat nachweisen lassen, vermute ich mal,
gibt es auch solide Argumente, womit man dann das Urteil anfechten kann.
Aber wir werden natürlich das beobachten und hier berichten.
Genau, man wird es wahrscheinlich nicht übersehen können, die Folge davon aus.
Da gehe ich auch von aus, ja.
Die DPC leitet neue Untersuchungen gegen TikTok wegen Datenübertragung nach China ein.
Also ein altbekanntes Thema und zwar die irische Datenschutzbehörde DPC hat
eben ein neues Verfahren gegen TikTok eingeleitet.
Hintergrund ist die zwischenzeitliche Speicherung europäischer personenbezogener
Daten auf Servern in China.
TikTok hatte dies im April diesen Jahres eigenständig eingeräumt und von einem
technischen Problem gesprochen.
Die DPC spricht dagegen nun von
ungenauen Informationen und zeigt sich infolgedessen eben tief besorgt.
Laut ihrer Aussage ist eben ein bloßes technisches Problem, keine Begründung
und entbindet eben nicht von der Pflicht, Transparenz herzustellen,
geeignete Schutznaßnahmen zu treffen und korrekte Angaben gegenüber Aufsichtsbehörden zu machen,
so eben die Datenschützer aus Irland.
Und die DBC prüft jetzt, ob TikTok gegen zentrale Pflichten aus der DSGVO verstoßen
hat, etwa in Bezug auf die Rechenschaftspflicht, Datensicherheit und eben mit
Blick auf die internationale Datenübertragung.
TikTok steht ja eben seit Jahren wegen seiner Nähe zum chinesischen Mutterkonzern
ByteDance unter Beobachtung und im Mai diesen Jahres hatte die DPC ja auch das
Unternehmen bereits mit einer hohen Geldstrafe von 530 Millionen Euro belegt,
eben wegen unzureichender Schutzmaßnahmen und der Datenverarbeitung außerhalb der EU.
Im Zuge dieses Verfahrens räumt TikTok dann erstmals ein, dass eben Daten auch
in China gespeichert worden waren, was jetzt wahrscheinlich,
ich sag jetzt mal, das fast zum Überlaufen brachte und die DPC eben wieder auf den Plan rief.
Die Daten seien laut TikTok wohl inzwischen gelöscht worden,
doch eben die DPC zweifelt an der Zuverlässigkeit der Informationen.
Ja, was nehmen wir daraus mit? Ich glaube, TikTok ist eine Never-Ending-Story,
auch hier in unserem Podcast.
Ich glaube einfach für die Praxis, wie wichtig es halt eben ist.
Selbst entdeckte Vorfälle immer wieder sauber zu dokumentieren und Aufsichtsbehörden
auch eine gute Kommunikation oder einen guten Kommunikationsweg zu geben,
um eben auch hier vollständige Informationen fließen zu lassen.
Ja, technische Probleme dürfte, glaube ich, niemals eine Ausrede sein,
oder Heike, um funktionierende Kontroll- und Schutzmechanismen zu etablieren.
Dürfte dünn werden, vor den Aufsichtsbehörden damit zu argumentieren, ja.
Genau. Und vielleicht auch noch dazu zu sagen, hier wieder ein gutes Beispiel
dafür, dass schon bereits verhängte Geldstrafen eben auch nicht vor weiteren Verfahren schützen.
Also, dass auch hier Behörden durchaus weiterhin auch ein Auge auf jemanden haben.
Freikarte ist das sicherlich dann nicht.
Einmal freigekauft.
Genau. Ja, ich weiß ja, du bist ja großer TikTok-Fan. Hast du denn mittlerweile auch einen Account?
Auf keinen Fall.
Auf keinen Fall. Nicht in diesem Leben.
Nicht mehr in diesem Leben, nein.
Ja, okay. Ich werde schon mal nachfragen. Bonn.
Die BFDI hat ein Konsultationsverfahren zum Datenschutz bei KI-Modellen gestartet.
Das öffentliche Konsultationsverfahren wurde gestartet, um praxisnahe Lösungen
für den Datenschutz beim Training von großen KI-Modellen zu entwickeln.
Wie alle wissen, LLMs können natürlich personenbezogene Daten aus Trainingsdaten
wiedergeben, manchmal wortgetreu oder sinngemäß.
Und das wirft natürlich Fragen nach Transparenz, Rechenschaftspflicht und aber
auch technischer Absicherung auf. Aus Sicht der Bundesbeauftragten für den Datenschutz
und Informationsfreiheit sind diese Fragen auch im Jahr 2025 teilweise noch offen.
Daher hat sie sich für das Verfahren entschieden und möchte mit diesem öffentlichen
Konsultationsverfahren dann auch dazu beitragen, das praktische Wissen über
KI-Modelle für die aufsichtsrechtliche Bewertung natürlich für alle auch zur Verfügung zu stellen.
Die Frist der Einreichung von Stellungnahmen endet bereits am 10.
August, also im Monat läuft die.
Alle Details findet ihr dazu auf der Webseite der BFDI. Den Link findet ihr
selbstverständlich in den Shownotes.
Und da gibt es dann, wie gesagt, auch noch ein paar Details zu den Fragen und
wie das ganze Verfahren dann auch läuft.
Da bin ich auf die Ergebnisse gespannt, was davon veröffentlicht wird.
Dito.
Ich habe als nächstes was mitgebracht aus der Kategorie Kuriosus.
Letzte Woche hat es nicht reingeschafft, aufgrund der Vielzahl der Themen.
Es war ja eine sehr lange Folge.
Aber heute, dachte ich mir, ist ein guter Zeitpunkt dafür. Denn in Taiwan hat
ein Ex-Sanitäter über Jahre vertrauliche Notfalldaten und jetzt kommt es, an Bestatter verkauft.
Dieser schwere Datenschutzverstoß wurde bereits Anfang des Monats öffentlich
gemacht und ein ehemaliger Rettungssanitäter hat in Taiwan über zwei Jahre hinweg
personenbezogene Daten aus einer Notrufleitstelle an Bestattungsunternehmen verkauft,
darunter Namen, Adressen und Todesumstände.
Die unbefugte Weitergabe besonders sensibler Gesundheitsdaten ist auch nach
tavaynesischem Recht verboten und Taiwan unterliegt zwar nicht der DSGVO und
hat ein eigenes Datenschutzgesetz,
welches jedoch ähnliche Schutzziele verfolgt.
Ja, und der Datenmissbrauch kam eben jetzt durch Ermittlungen der Behörden ans Licht.
Die Weitergabe erfolgte ohne Wissen der Angehörigen und mutmaßlich,
um eben Bestattern einen Vorsprung bei der Äquise von Aufträgen zu verschaffen.
Ich finde ja, das ist schon ein Knaller.
Das ist schon ein Knaller. Vor allen Dingen, wenn man jetzt so ein bisschen
überspitzt denkt und sagt, okay, man hat den Notruf angerufen und der Bestatter
ist vor dem Krankenwagen da.
Unangenehm. Ja, nee, aber ich glaube, das ist natürlich ein absolutes No-Go
und finde ich halt auch, wie gesagt,
völlig richtig, auch selbst wenn es, wie du schon sagst, nicht DSGVO relevant
ist, aber unter der Rubrik Kuriosus in der Tat würdig.
Ja und damit kommen wir zu unserer Rubrik Veröffentlichungen und Veranstaltungen.
Ich hätte eine Veranstaltung im Gepäck und zwar eine Online-Veranstaltung Grundlagenschulung
zum Beschäftigten-Datenschutz am Dienstag, den 22.
Juli von 10 bis 11 Uhr. Der Vortrag ist ein Angebot des LFTI Baden-Württemberg
und soll einen praxisnahen Einstieg in das Thema Beschäftigten-Datenschutz bieten.
Anhand konkreter Alltagssituationen, also von der Geburtstagsliste über Zeiterfassung
bis hin zum Bewerbungsprozess, soll vermittelt werden, wie Datenschutz im Arbeitsalltag
wirklich funktionieren kann.
Laut Beschreibung auf der Webseite richtet es sich besonders an Einsteigerinnen
und Einsteiger im Bereich Beschäftigten-Datenschutz.
Von daher sicherlich jetzt für unsere Zuhörer nicht direkt geeignet,
aber ich könnte mir halt vorstellen, dass der eine oder andere vielleicht in
seinem Umfeld oder bei seinen Kunden hier vielleicht darauf aufmerksam machen möchte,
weil dann, wie gesagt, insbesondere für Leute, die neu in der Personalabteilung
sind oder als Führungskraft, sicherlich etwas dann, woraus man viel mitnehmen
kann, wenn man in dem Thema noch nicht so viel selber mitzutun gehabt hat bisher.
Ich habe auch eine Veröffentlichung mitgebracht und zwar, oder beziehungsweise
eine Veröffentlichung, das war ja keine von dir, aber ich habe eine Veröffentlichung
mitbrach zu einem Randthema.
Aber ich glaube, das könnte für den einen oder anderen hier auch interessant
sein, denn in Nordrhein-Westfalen steigt die Zahl wohnungsloser Menschen.
Das hat das Sozialministerium kürzlich mitgeteilt und ein zentraler Grund hierbei
ist eben Kündigungen wegen Mietrückständen.
Und in genau diesen Fällen stellt sich eine sensiblich datenschutzrechtliche Frage,
denn dürfen Vermieter oder Vermieterinnen persönliche Datensäumermieter an die
Sozialbehörde weitergeben, um eine drohende Obdachlosigkeit zu verhindern?
Die Antwort lautet Ja, aber nur unter klar definierten Voraussetzungen und das
betont Bettina Geig, die Landesbeauftragte für den Datenschutz und die Informationsfreiheit
in NRW, die gestern einen entsprechenden Kriterienkatalog veröffentlicht hat.
Wer sich also dafür interessiert, wird bei uns in den Shownotes fündig.
Wunderbar. Damit sind wir für heute durch.
Ich erinnere nochmal dran, Themenfolge zur Restrukturierung der Aufsicht in Deutschland.
Also brauchen wir 18 plus Aufsichtsbehörden oder macht es vielleicht doch Sinn,
bestimmte Funktionen für die Wirtschaft bei der BfD vielleicht zu bündeln,
so wie der Koalitionsvertrag das vorsieht.
Wer da Interesse hat, wird gerne reinhören und mitdiskutieren auf unserer Folgenseite
ab Dienstag, dann online, überall, wo es gute Podcasts gibt.
In diesem Sinne, vielen Dank Laura.
Danke ebenso.
Und euch eine gute Zeit, ein schönes Wochenende. Bleibt uns gewogen und auf bald.
Bis bald.