LDI NRW: Bußgeld wegen Missachtung von Betroffenenrechten – DS News KW 37/2025

Transkript zur Folge:

Ich hänge noch an deiner Erlassungsfrage fest. Du hast glaube ich Erlassung
gesagt, statt Unterlassung.
Habe ich Erlassung gesagt, Unterlassung? Okay, dann mache ich das einfach nochmal.
Machen wir nochmal neu.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 12. September 2025 und unser Reaktionsschluss war wie immer um 10 Uhr.
Mein Name ist Gregor Wortberg und an meiner Seite begrüße ich heute Natalia Wosniak.
Hallo.
Hallo Natalia. Ich freue mich, diese Woche mit dir gemeinsam unsere News einzusprechen.
Welche Themen hast du denn heute für unsere Hörerinnen und Hörer mitgebracht?
Ich habe heute ein Bußgeld aus NRW in Höhe von 35.000 Euro gegen eine Personalvermittlung
wegen Missachtung von betroffenen Rechten mitgebracht.
Dann habe ich den Data Act mitgebracht, der ab heute, wir haben den 12.
September, anwendbar ist.
Dann habe ich die Umfrageergebnisse des Europäischen Datenschutzbeauftragten
zur DSFA mitgebracht, die vom Europäischen Datenschutzbeauftragten vorgestellt
wurden. und einen Veranstaltungshinweis für Kurzentschlossene.
Ja, ich habe meine Premiere im Verbandsklagerecht in Deutschland mitgebracht.
Dann wird es wahrscheinlich bald einen neuen Angemessenheitsbeschluss geben.
Mehr möchte ich da jetzt noch nicht teasern.
Und der BGH hat ein Urteil im Kontext des Schadensersatzes gesprochen.
Darüber hinaus habe ich auch noch zwei Veröffentlichungen mitgebracht.
Dann fangen wir doch einfach mal an.
Wir fangen an. So, wir gehen einmal nach NRW. Und zwar hat die Landesdatenschutzbeauftragte
Frau Geig gegen eine Düsseldorfer Personalvermittlung ein Bußgeld in Höhe von 35.000 Euro verhängt.
Das andere wäre ja zu schön, um wahr zu sein.
Hintergrund waren zahlreiche Beschwerden gegen das Unternehmen,
die bei der LDI NRW eingegangen waren.
Demnach hat das Unternehmen nicht nur Auskunft, sondern auch Löschungsersuchen
von Arbeitssuchenden ignoriert.
Und nicht nur das, das Unternehmen hat auch auf Schreiben der LDI NRW nicht
reagiert, in denen sie um Auskunft gebeten und über die Pflicht aufgeklärt hatte,
dass die Rechte der Betroffenen zu wahren sind.
Im konkreten Fall hat das Unternehmen weiterhin sogar in einzelnen Fällen mitgeteilt,
dass die Daten der Betroffenen gelöscht wurden.
Trotzdem erhielten die Betroffenen weiter über diese Daten Newsletter-Werbung der Firma.
Die LDI NRW, Frau Geig, betont in der Pressemitteilung dazu,
dass Unternehmen zur Kooperation mit der Aufsichtsbehörde gesetzlich verpflichtet sind.
Zudem zeige die doch sehr freche Vorgehensweise des Unternehmens, wie wichtig es ist.
Und hier ein Zitat an der Stelle, dass wir als Aufsichtsbehörde konsequent dagegen
vorgehen und zwar mit allen Instrumenten, die uns zur Verfügung stehen.
Dem kann ich mich nur anschließen. Die klare Botschaft der LDI NRW ist also,
dass sich Ignoranz beim Datenschutz nicht auszahle.
Ich finde, der Fall zeigt, dass wer Betroffenenrechte missachtet,
empfindliche Bußgelder und auch massiven Vertrauensverlust riskiert.
Der Fall zeigt aber auch für die Praxis, für alle anderen Unternehmen,
wie wichtig es ist, dass Daten auch tatsächlich gelöscht sind,
wenn man die Löschung in einer Auskunft behauptet.
Und damit sind wir beim Thema Löschkonzept.
Und auch bei einem weiteren Thema, nämlich dass Prozesse implementiert sein
sollten, die zeigen, wenn eine Löschung vielleicht im Einzelfall nicht richtig funktioniert.
Von daher an der Stelle eine Empfehlung an unsere lieben Zuhörer,
vielleicht einmal die Löschkonzepte nochmal durchzuschauen, vielleicht nochmal
zu schauen, ob die Prozesse implementiert sind, die eben auch anschlagen,
wenn eine Löschung nicht funktioniert hatte.
Und vielleicht auch nochmal die Prozesse zur Beantwortung von Auskunftsanfragen zu prüfen.
Zum ersten Mal wurde in Deutschland eine Verbandsklage eingereicht, auch an Premiere.
Ein Berliner Kanzlei verklagt mit Unterstützung des österreichischen Verbraucherschutzvereins
VSV, keinen geringeren als in Meta, und zwar mit Blick auf die Datenverarbeitung
durch die Meta-Business-Tools.
Kernvorwurf ist die Verarbeitung personenbezogener Daten, zum Beispiel die Anlage
von Nutzer- und Schattenprofilen, ohne Einwilligung betroffener Personen.
Und somit könne Meta laut den Verbraucherschützern in großem Umfang die Internetnutzung
nachverfolgen und Persönlichkeitsprofile erstellen.
Gefordert werden übrigens 5000 Euro Schadensersatz pro erwachsenen Nutzer und
10.000 Euro Schadensersatz pro betroffenen Kind. Also hat schon einen guten
wirtschaftlichen Impact, auch für Meta.
Wenn das so umgesetzt werden sollte in einem Urteil. Es ist natürlich aber auch
nicht die erste Klage gegen Meta in Deutschland.
Laut Heise sind an allen 120 Landgerichten Deutschlands Klagen anhängig.
Wow.
Muss man auch mal schaffen. Nun ist es aber eben die erste Verbandsklage.
Wie in der Vergangenheit auch schon durch uns berichtet, wurde in Deutschland
die EU-Verbandsklagen-Richtlinie umgesetzt.
Und diese sieht eben diese sogenannte Abhilfeklage vor, mit der Verbraucherverbände
gleichartige Ansprüche von Verbrauchern gegen ein Unternehmen geltend machen können.
Wir sind gespannt, wann das Ergebnis kommt, aber da halten wir euch natürlich auf dem Laufenden.
Ja, ich bin aber auch gespannt, wie sich das Thema Verbandsklage auch weiterhin entwickelt.
Inwiefern das jetzt, wo wirklich so der Startschuss gefallen ist, auch immer mehr zum,
ich weiß nicht, scharfes Schwert, aber auf jeden Fall auch ein Schwert,
was jetzt vorhanden sein wird, quasi einen Punkt mehr den Unternehmen berücksichtigen
müssten, dass so etwas auf sie zukommen könnte.
So, etwas, was auf uns zukommt, habe ich auch, nämlich den europäischen Data Act.
Es ist nämlich soweit, ab heute, den 12. September 2025, ist der europäische
Data Act anwendbar und erweitert die Rechte auf Datenzugang und Datenübertragbarkeit.
Mit dieser Verordnung will der Gesetzgeber den Zugang zu Daten aus vernetzten
Produkten und Diensten verbessern.
Denn der DATA-Act verpflichtet Hersteller vernetzter Geräte,
Daten auch Dritten zur Verfügung zu stellen, etwa einer Werkstatt,
die die Fahrzeugdaten benötigt.
Der DATA-Act konkretisiert damit die Rechte auf Auskunft und Datenübertragbarkeit aus der DSGVO,
denn Nutzende der vernetzten Geräte können nicht nur ihre Daten einsehen,
sondern auch die Übertragung an Dritte verlangen, beispielsweise,
wie schon gerade gesagt, von Fahrzeugdaten an eine Werkstatt.
Dabei zählen zu den vernetzten Geräten nicht nur kleine Haushaltsgeräte oder
Internet-of-Things-Anwendungen, sondern auch Autos, Industriemaschinen und potenziell
auch ganze Produktionsanlagen.
Also prinzipiell jedes Gerät, das Daten verarbeitet und übermittelt.
Fällt in den Anwendungsbereich.
Von daher vielleicht auch ein kleiner Lesehinweis bereits an dieser Stelle,
denn der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg
hat in seiner aktuellen Pressemitteilung den Zusammenhang mit der DSGVO und
den wesentlichen Anforderungen aus dem Data-Act erläutert.
Er stellt auch eine Linksammlung mit weiterführenden Informationen zur Verfügung.
Wir verlinken dazu in den Shownotes. Ja, was heißt das jetzt?
Heute, der 12. September, nämlich für Datenschutzbeauftragte heißt es,
es lohnt sich, die eigenen Prozesse jetzt schon auf mögliche Ansprüche aus dem
Data Act vorzubereiten,
denn die ersten Anfragen werden möglicherweise nicht lange auf sich warten lassen
und auch Unternehmen, die vernetzte Geräte oder Dienste anbieten,
sollten spätestens jetzt prüfen, ob für sie Handlungsbedarf besteht.
Kann auf jeden Fall nicht schaden.
Kann nicht schaden.
Kann nicht schaden, das zu prüfen. Ich habe eine Kurzmeldung mitgebracht als
Update im Kontext internationaler Datenverarbeitung.
Nach 25 Jahren Verhandlungszeit steht nämlich das Freihandelsabkommen zwischen
der EU und den Marc-Uso-Staaten Argentinien, Brasilien, Paraguay und Uruguay vor der Ratifizierung.
Und parallel dazu, und jetzt kommt nämlich das Datenschutzrechtlich Relevante,
veröffentlichte die EU-Kommission am 5.
September einen Entwurf für einen Angemessenheitsbeschluss Brasiliens.
Im Gegenzug wird dann übrigens auch erwartet, dass die Angemessenheit der DSGVO
durch Brasilien anerkannt wird.
Wie gesagt, erstmal nur ein Entwurf, aber da steht anscheinend der Beschluss
vor der Tür und somit dann natürlich auch eine Erleichterung in der Zusammenarbeit
mit brasilianischen Dienstleistern.
Das heißt, für die Unternehmen, die brasilianische Dienstleister haben,
wird es auf jeden Fall eine große Erleichterung sein, wenn das wirklich zum Tragen kommen würde.
Ich bin jetzt noch so ein bisschen im Stocken wegen der 25 Jahre.
Ich stelle mir gerade 25 Jahre andauernder Vertragsverhandlungen vor.
Brauchst nochmal zwölf Jahre bis zum Angelegenheit.
Ja, wenn sich das alles immer, das Stand der Technik und die Entwicklung in
der Zwischenzeit, man fängt eigentlich immer wieder bei Null an.
Aber jetzt haben sie es anscheinend geschafft.
Tatsächlich. Ein Thema des Millenniums anscheinend, wenn man so möchte,
wurde diesem Jahr abgeschlossen.
So, dann komme ich zu einem weiteren Thema, auch unter Stichpunkt abgeschlossen.
Nämlich abgeschlossen hat der europäische Datenschutzbeauftragte der EDPS.
Er hatte eine Umfrage zum Data Protection Impact Assessment bei EU-Institutionen
nach der Verordnung EU 2018-1725, also EU-DPR, durchgeführt und abgeschlossen.
Denn gemäß Artikel 39 EU-DPR sind Organe und Einrichtungen der Union verpflichtet,
ein Data Protection Impact Assessment oder auch auf Deutsch Daten des Folgenabschätzung
durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die
Rechte und Freiheiten natürlicher Personen zufolge hat.
Damit sind die Voraussetzungen und die Inhalte des Artikel 39 EU-DPR vergleichbar
mit den Voraussetzungen aus unserem, uns allen bekannten Artikel 35 DSGVO.
Und damit werden auch die Ergebnisse irgendwo vergleichbar und übertragbar sein.
Der Bericht vom 08.09.2025, also druckfrisch, identifiziert wiederkehrende Qualitätsmängel,
also fehlende systematische Verfahrensbeschreibungen, Datenflussdiagramme,
lückenhafte Prüfungen von Erforderlichkeit und Verhältnismäßigkeit oder auch
unzureichend dokumentierte DPO-Beteiligung, sowie bisweilen unkritische Übernahme
von Datenschutzfolgenabschätzungen Dritter.
Was können wir daraus mitnehmen? Im Grunde, wie wichtig es ist,
die DSFA umfassend durchzuführen.
Dazu gehört zunächst die Ausgangslage darin festzuhalten, indem vor allem die
konkrete Beschreibung des Verfahrens und ein Datenflussdiagramm enthalten sind.
Aber auch die weiteren bemängelten Punkte, Erforderlichkeit und Verhältnismäßigkeit,
die sollten auch angemessen berücksichtigt werden und die Erwägungen dazu auch dokumentiert werden.
Denn nur eine vollständige DSFA sichert auch die Umsetzung der gesetzlichen
Pflicht, ob jetzt aus Artikel 39 EU-DPA oder aus Artikel 35 DSGVO.
Wir verlinken in unseren Shownotes auf den Bericht,
der vielleicht wie eine kleine Blaupause verwendet werden kann,
um zu prüfen, ob die bemängelten Punkte in der eigenen Vorlage für die DSFA
enthalten sind oder vielleicht nochmal ergänzt werden sollten,
sodass die Vorlage vielleicht nochmal aktualisiert werden könnte.
Dann habe ich noch ein Urteil vom BGH mitgebracht. Der hat nämlich in seinem Urteil vom 29.
Juli diesen Jahres entschieden, dass ein sich aus Artikel 82 DSGVO ergebene
Anspruch auf Schadensersatz nicht weitere Ansprüche aus nationalen Vorschriften ausschließt.
Im vorliegenden Fall, welcher im Wesentlichen eine Unterlassungsklage gegen
getätigte Äußerungen umfasst,
bedeutet dies konkret, dass sich neben dem Schadensersatz aus dem Datenschutzrecht
auch unter dem Gesichtspunkt der Verletzung des allgemeinen Persönlichkeitsrechts
Ansprüche ergeben können.
An der Stelle eine bekommene Klarstellung in Kurzform, da wir auf den datenschutzrechtlichen
Kern dieses Urteils auch nochmal gerne eingehen wollten.
Und dann komme ich auch schon zu meinem ersten oder zu meinem Veranstaltungshinweis.
Der ist auch für Kurzentschlossene, wie schon am Anfang angekündigt.
Der Berliner Datenschutzbeauftragte bietet nämlich folgenden Dienstag, also am 16.
September 2025 von 10 bis 12 Uhr in Berlin in Präsenz eine Veranstaltung zum
Thema Auskunftsanfragen an.
Das heißt, der Berliner DSB möchte dabei unterstützen, bei eingehenden Anträgen
auf Auskunft, dass die Unternehmen eben gut vorbereitet sind und bietet daher
einen Überblick dazu, bis wann, wie und worüber Auskunft gegeben werden muss.
Die Schulung findet, wie gesagt, in Präsenz statt, nachher für Kurzentschlossene.
Eine Anmeldung über die Webseite des Berliner DSB ist erforderlich,
die Teilnahme ist allerdings kostenfrei.
Ganz genau. Wir bleiben bei den Aufsichtsbehörden und wir blicken wieder zurück nach Hamburg.
Der hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat mit
dem Konzept The Bridge Blueprint Thesen veröffentlicht, welchen die Vorgaben
der DSGVO systematisch mit den neuen Anforderungen der KI-Verordnung verbindet.
Das Diskussionspapier wurde explizit mit dem Wunsch nach einem breiten Diskurs veröffentlicht.
Papier sei, so heißt es in der Pressemitteilung, als Brückenschlag zwischen
Datenschutzgrundverordnung und KI-Verordnung gedacht,
dass nämlich die abstrakten, prinzipienbasierten Vorgaben der DSGVO darin durch
die konkreten technischen Anforderungen der KI-Verordnung ausgefüllt und anwendbar gemacht würden.
Lohnt sich, einen Blick mal reinzuwerfen. Bis 15. November können interessierte
Feedback und Anmerkungen bezüglich des Papiers einreichen. Wir verlinken das
natürlich auch in unseren Shownotes. Im Kontext KI möchten wir noch auf eine
Konsultation der EU-Kommission hinweisen.
Diese dient der Entwicklung von Leitlinien und einem Verhaltenskodex für transparente
KI-Systeme nach der KI-Verordnung, insbesondere vor dem Hintergrund der ab dem 2.
August 2026 geltenden Transparenzpflichten für Anbieter und Anwender,
wo halt ganz klar gekennzeichnet sein muss, wenn ein KI-generierter Inhalt,
zum Beispiel Bilder oder ähnliches, genutzt werden. Bis zum 2.
Oktober können hier noch Stellungnahmen eingereicht werden. Und wenn ich dich so angucke, Natalia.
Habe ich demnächst mehr hinzuzufügen.
Hast du demnächst mehr hinzuzufügen. Und wir haben alle Nachrichten für diese
Woche euch vorgetragen.
In diesem Sinne bedanken wir uns auch wieder, dass ihr in dieser Woche dabei
gewesen seid und uns zugehört habt.
Wir wünschen euch, wenn ihr uns am Freitag hört, ein schönes Wochenende.
Falls es heute Montag sein sollte, einen schönen und erfolgreichen Wochenstart.
Und dann sagen wir, bis bald.
Bis bald, bis zum nächsten Mal.