Zum Inhalt springen

EU-US-DPF auf dem Weg ins Grab – DS News KW 44/2025
    Moderation:
    avatar
    Laura Droschinski
    avatar
    Gregor Wortberg

    Was ist in der KW 44 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

    • Rechtsmittel eingelegt: EU-US-Datenschutzrahmen landet vor dem EuGH
    • Zusätzliche Verfahrenstexte für die grenzüberschreitende Durchsetzung der DSGVO
    • LDI NRW unterbindet Datenverarbeitung via WhatsApp durch ein Taxiunternehmen
    • noyb-Kritik an der Durchsetzung von DSGVO-Bußgeldern außerhalb des Anwendungsgebietes, Strafanzeige gegen Clearview-Manager
    • Trend geht zur Cloudnutzung innerhalb der EU
    • Grindr-Bußgeld in Verhältnismäßigkeits-Überprüfung

    Veröffentlichungen & Veranstaltungen

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    X: https://x.com/ds_talk?lang=de

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/eu-us-dpf-auf-dem-weg-ins-grab-ds-news-kw-44-2025/↗

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Transkript zur Folge:

    Der Datenschutzgeisterjäger Neub beschwört das Strafrecht, es beginnt die Jagd
auf die Fratze der globalen Gesichtsdatenbank und so geht das nicht.
Die Fratze.
Dann machen wir nochmal neu, oder?
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosens.
Wir begrüßen euch und ja, heute am 31. Oktober 2025 und es ist Halloween und
wir haben eine kleine Besonderheit für euch vorbereitet. Es soll schaurig schön werden, auch heute.
Redaktionsschluss war um 10 Uhr. Mein Name ist Laura Droschinski und an meiner Seite heute...
Gregor Wortberg. Hallo Laura.
Hallo. Vielleicht aus dem Nähkästchen geplaudert. Wir haben schon mal ein paar
Minuten eingesprochen und wir mussten so lachen.
Es wird keine leichte Folge, vor allem für den Schnitt. Schon mal viele Grüße
und vielen Dank an der Stelle.
Aber wir haben schaurig schöne Themen am heutigen Freitag dabei. Wie sieht es bei dir aus?
Ja, da habe ich mitgebracht. Zwischen Grablicht und Gerichtssaal ist der erste Titel.
Der EuGH entscheidet, ob das EU-USDPF lebt oder als drittes Abkommen im Datenschutzfriedhof
ruht. Schrecken oder Einwilligung?
LDI NRW bremst den Taxi-Chat-Spuk aus. und süße sonst Verschlüsselung,
Forsa-Umfrage zur Angst vor Fernzugriff.
Ach herrlich, ja, ich habe was mitgebracht aus dem Brüsseler Hexenkessel.
Neue DSGVO-Rituale für Cross-Border-Fälle, schneller, straffer und unheimlich
einheitlich soll es werden.
Dann der Datenschutzgeisterjäger Neub beschwört das Strafrecht.
Es beginnt die Jagd auf die Fratze der globalen Gesichtsdatenbank.
Und es herrscht eiskalter Nordwind, denn 65 Millionen norwegische Kronen,
das Urteil, das Werbewampire fernhält und ausdrückliche Einwilligung heraufbeschwört.
Ich finde, das können wir immer so machen.
Wir machen einfach weiter. Wir finden noch ein paar Themenfolgen für jede Woche.
Richtig. Aber leg mal los mit der ersten Nachricht.
Das Schöne ist, bei der ersten Nachricht darf ich im Halloween-Stil bleiben.
Und das mache ich jetzt auch einfach mal. Die Frage ist dann nämlich,
ist das EU-US-Data-Privacy-Framework zwei Jahre nach dem Angemessenheitsbeschluss auf dem Weg ins Grab?
Den zu Halloween passenden Namen trägt nämlich der französische EU-Abgeordnete
Philippe Latombe aus dem Französischen eben übersetzt, das Grab.
Und dieser hat nämlich nun bestätigt, dass er gegen das Urteil des Europäischen
Gerichts aus September diesen Jahres, welches ja im Wesentlichen das Datentransferabkommen
gestärkt hat, Rechtsmittel vor dem Europäischen Gerichtshof einlegen wird.
Nach dem Ende von Safe Harbor und dem Privacy Shield könnte nun quasi ein Schrems-3-Urteil
oder vielmehr ein, jetzt wieder Halloween-Wortwitz, Grabes-Urteil folgen,
um beim Namen zu bleiben.
Und ja, Latompe zweifelt insbesondere an der Unabhängigkeit des amerikanischen
Data Protection Review Boards an.
Dies sei weder neutral und es fehle die Distanz zur Exekutive des Landes.
Und in der Folge sei eben weder der wichsame Rechtsschutz noch die Entscheidung
durch ein unabhängiges und unparteiisches Gericht garantiert.
Das DPF sei folglich nicht mit der EU-Grundrechtscharta sowie der DSGVO vereinbar.
Weitere Kritikpunkte sind die bekannte Sammelwut durch US-Geheimdienste wie
der NSA und natürlich hat das durch den EuGH zu erwartende Urteil eine bekannte Brisanz.
Eben durch die Abhängigkeit tausender Unternehmen,
Von US-Diensten, die natürlich sich Rechtssicherheit wünschen bei der Datenübermittlung
in die Vereinigten Staaten.
Dementsprechend schadet es sicherlich grundsätzlich nicht, schon mal die SCCs
zu prüfen, zu aktualisieren und vielleicht auch nochmal eine TIA,
das Stands for Impact Assessment zu aktualisieren, sofern denn vorhanden.
Weil das kann natürlich dann auch wieder auf den Plan gerufen werden.
Richtig, wir werden nicht müde, das immer wieder anzumerken,
dass hier doch mit den SECs man doch erstmal gut beraten ist, glaube ich.
Ja, die EU einigt sich politisch auf neue Verfahrensregeln und somit sind eben
schnellere und einheitlichere Cross-Border-Fälle in Sicht.
Ganz kurz zusammengefasst, neben nach anhaltender Kritik an langsamen und uneinheitlichen
Verfahren bei grenzüberschreitenden DSGVO-Fällen, hat nun das Europäische Parlament
die finale Abstimmung über die neuen Verfahrensregeln durchgeführt. geführt.
Bereits am 16. Juni diesen Jahres gab es ja eine vorläufige politische Entscheidung
zu dem Thema und ja, die folgenden Kernpunkte eben, die diese Einigung nun enthält,
ist zum einen eine frühzeitige Sondierung zwischen den Aufsichtsbehörden,
also eben um Streitpunkte von Anfang an zu klären.
Dann soll das Kooperationsverfahren vereinfacht werden, insbesondere bei eben
eindeutigen Fällen ohne volles Kohärenzverfahren.
Das hat ja auch immer sehr aufgehalten in der Vergangenheit.
Dann hat man sich auf Fristen für Beschlussentwürfe
Der federführenden Behörden geeinigt und elektronische Fallakten soll es zukünftig
auch geben, eben zur grenzüberschreitenden Zusammenarbeit.
In dem Moment dachte ich, schade, dass man das sogar noch aufschreiben muss.
Und weiter geht es mit gerichtlichem Druck gegen Untätigkeit,
denn eben sollten Klagen verzögert werden wegen Nichtbearbeitung,
soll das halt zukünftig auch mit in den Fokus kommen.
Ich glaube, fast alle Zuhörerinnen und Zuhörer wissen es auch,
also eben dieses dezentrale Durchsetzungssystem der DSGVO,
was ja eben dazu führt, dass eben
alle Mitgliedstaaten ihre eigenen Datenschutzbehörden eingerichtet haben,
haben ja eben in Vergangenheit immer wieder zu Hürden geführt bei der Zusammenarbeit
und ja, ich finde persönlich es schön, dass man jetzt hier nochmal klare Regeln verabschiedet hat.
Was sicherlich die Planbarkeit und Geschwindigkeit verbessert,
die halt im Rahmen von Beschlussentwürfen nicht ganz unwichtig sind,
weil es ja eben auch zu Rechtssicherheit führt und natürlich auch am Ende,
glaube ich, immer positiv ist, wenn hier auch EU-Recht auch in möglichst vielen
Schaden auch gleich gehandhabt wird.
Wen es aber auch interessiert, das muss ich vielleicht auch dazu sagen,
ist ein ganz kleiner Art von Lesetipp schon jetzt, weil wir packen euch gerne
hier auch in die Shownotes die noch detaillierteren Ausarbeitung der Europäischen Kommission.
Wunderbar. Ich mache mit dem Taxi-Spuk weiter, den ich angekündigt hatte.
In einer veröffentlichten Pressemitteilung hat nämlich die NRW-Landesbeauftragte
für den Datenschutz und die Informationsfreiheit Bettina Geig bekannt gegeben,
einem Taxi-Unternehmen die Nutzung von WhatsApp untersagt zu haben.
Klickbett wäre gewesen, wir hätten über WhatsApp gestartet, aber das hat nämlich
gar nichts mit WhatsApp zu tun.
Die Untersagung wäre meines Erachtens bei jedem anderen Messenger-Dienst auch folgerichtig gewesen.
Es gab nämlich zwei WhatsApp-Gruppen in diesem Taxi-Unternehmen und da haben
die sich fröhlich viele Daten hin und her geschickt.
Nämlich Fotos von Kundinnen und Kunden, von Personal und Schwerbehinderten,
Ausweisen, Namen, Adressen, Überweisungen, Rezepte, Kliniknamen und Termine.
Also die Liste ist da recht lang. Die,
Gruppen trugen den passenden Titel Taxi-Newsletter und Taxi-Check-up-Krankenbeförderung,
also auch wieder irgendwie alles mit dabei.
Dem natürlich noch nicht genug. Es wurde auch noch ein Foto von einer Person,
welche nicht gezahlt hat, aus sozialen Netzwerken herausgesucht und dann auch
noch in den Gruppen geteilt, damit man es wegen der angeblichen Zahlungsunfähigkeit
dann nicht mehr transportieren soll.
Also so ein bisschen was schiefgelaufen ist da schon. Darüber hinaus kommt natürlich
auch noch die Herausforderung, dass je nach WhatsApp-Einstellung die Daten dann
natürlich auch in den Galerien der Handys gespeichert werden,
dauerhaft gespeichert werden und natürlich auch nach Austritt aus der Gruppe nicht gelöscht werden.
Das alles natürlich ohne Wissen und Einwilligung der betroffenen Person.
Und in der Folge hat die LDI NRW die Praxis untersagt. Das Unternehmen hat dem
wohl bereits auch Folge geleistet.
Zudem werde nun auch noch die Verhängung einer Geldbuße geprüft.
Das LDI NRW betonte, dass die Praxis natürlich auch bei anderen Taxiunternehmen
jetzt nicht unwahrscheinlich sei und diese Information,
diese Pressemitteilung natürlich
auch als Sensibilisierung von einer unrechtmäßigen Verarbeitung diene.
Tipp für die Praxis sind natürlich auch die gelebten Praktiken im Unternehmen
natürlich auch zu prüfen Und mal
genauer hinzuschauen, wie sinnhaftig und zulässig das Ganze dann auch ist.
Und da grundsätzlich empfiehlt er sich darüber hinaus natürlich auch eindeutige
und in der Folge natürlich auch zulässige Kommunikationskanäle mit seinen Beschäftigten.
Zu kommunizieren und zu definieren.
Mitarbeitersensibilität hört ja auch nicht beim Taxifahrer auf,
wie wir heute gelernt haben.
Ich komme zum Geisterjäger des Datenschutzes, nämlich Neub hat in Österreich
das Strafrecht aktiviert und stellt Strafanzeige gegen Clearview AI.
Also die Datenschutz-NGO Neub hat in Österreich Strafanzeige gegen Clearview
AI und auch verantwortliche ManagerInnen erstattet.
Hintergrund sind laut ihrer Pressemitteilung jahrelange DSGVO-Verstöße durch
eben massenhaftes Scraping von Gesichtern und die fortgesetzte Missachtung bereits
verhängter EU-Bußgelder.
Die Anzeige stützt sich unter anderem auf nationale Strafnormen nach Artikel
84 DSGVO eben in Verbindung mit dem Datenschutzgesetz aus Österreich, dem Paragrafen 63 dort.
Ziel ist eben, die persönliche Haftung bis hin zu Freiheitsstrafen zu erwirken.
Die Anzeige ging nur am 28. Oktober ein, also mal sehen, was daraus wird.
Das Geschäftsmodell von Clevo AI sammelt ja eben Gesichter, nach ihren eigenen
Angaben, über 60 Milliarden Bilder haben sich da mittlerweile angesammelt,
eben aus freizugänglichen Quellen und bietet Suchabgleiche für Behörden und andere Akteure an,
eben mit einer hohen Reidentifikationsgefahr und eben auch dadurch mit einer
massiven Eingriffsintensität für die Betroffenen.
Mehrere EU-Behörden, also Frankreich, Italien, Niederlande und ich meine auch
Griechenland werden dabei gewesen, haben ja eben Clearview ja auch bereits Bußgelder
und Verarbeitungsverbote auferlegt.
Grundsondern wohl insgesamt, habe ich gelesen, um die 100 Millionen Euro mittlerweile
zusammengekommen sein, die aber wohl das US-Unternehmen bislang faktisch ignoriert, so Neub.
Also Neub nutzt jetzt eben strafrechtliche Sanktionen nach österreichischem
Recht als neues Werkzeug, nachdem eben die Verwaltungsstrafen kaum vollstreckt werden konnten.
Und der Paragraf 63 DSG regelt eben Sanktionen um die Datenverarbeitung mit
Gewinn- oder Schädigungsabsicht,
was eben auf Grundlage dessen vom Gericht durchaus mit Freiheitsstrafen bis
zu einem Jahr oder auch mit Geldstrafen bis zu 720 Tagessätzen bestraft werden kann.
Cleve wäre ja auch ziemlich oft Gast gewesen bei uns.
Nicht Gast im Podcast, sondern schön wert. Nein, aber durchaus immer mal wieder Thema.
Stammgast.
Genau, Stammthema. Das müssen wir, glaube ich, sagen. Aber ja,
ich persönlich bin natürlich total gespannt, was da weitergeht oder wie es da
weitergeht, besser gesagt.
Und wie es da, aber ich glaube, dieses Neub und...
Datenschutzgeisterjäger, das merke ich mir. Finde ich total gut.
Eine Folge voller Erkenntnisse.
Ist ja was Wahres dran.
Eine Halloween-Überleitung zu meiner nächsten Folge habe ich nicht so ganz,
aber ich hatte eingangs mitgeteilt, dass es schon davon berichtet,
dass es eine Forsa-Umfrage gegeben hat.
Und konkret ist die im Auftrag von Strato erfolgt. Da haben gute tausend Leute
mitgenommen aus dem August diesen Jahres.
Und die zeigt im Wesentlichen, dass die Befragten im deutschen Raum ihre Daten,
um in der Hellungensprache zu bleiben, nicht in fremden Katakomben wissen wollen.
Also, dass die keinen außereuropäischen Zugriff haben wollen,
also Zugriff durch außereuropäische Institutionen. Diese 75 Prozent werden gestärkt,
also 75 Prozent der deutschen Cloud-Nutzer, dem sei hinzugefügt.
73 Prozent legen darüber hinaus dann auch Wert auf europäische Server-Standorte.
Also nicht nur der Zugriff ist da ein Thema. Ist eine Steigerung um gute 9 Prozent aus dem Jahr 2019.
Also der Trend geht ja in eine eindeutige Richtung.
Und eine große Mehrheit nämlich von 65 Prozent ist da auch der Meinung,
dass der Preis im Vergleich zur Souveränität dann eine kleinere Bedeutung hat.
Neben dem Preis geht es dann auch so weit, dass 67% der Nutzer auch wirklich
konkrete Datenschutzbedenken haben, wenn sie einen Nicht-EU-Dienst nutzen.
Dementsprechend ist es auch ein wichtiges Auswahlkriterium. Übrigens ein Altersgefälle
ist da auch festzustellen, während bei den 30- bis 44-Jährigen da gute 64% Bedenken
haben, sind es bei den 60- bis 75-Jährigen 82%.
Das geht ja auch anscheinend in eine...
Interessante Richtung. Nicht-Nutzer gibt es übrigens auch noch,
34%. 88% speichern davon dann lieber lokal und 79% fürchten eben davon dann
einen unbefügten Zugriff.
Aber 40% davon können sich künftig auch deutsche Cloud-Angebote vorstellen.
Die Ergebnisse passen natürlich zur aktuellen Debatte um die digitale Souveränität
und ist auch das EU-Cloud-Frameworks, das EU-CSF.
Und da ist die Botschaft natürlich irgendwie ganz klar, dass da digitale Souveränität
Konjunktur hat und Vertrauen da natürlich am Ende ein wesentlicher Faktor ist
bei der Entscheidung, für welches Cloud-Netzwerk-System man sich dann am Ende des Tages entscheidet.
Finde ich aber besonders schön, dass das die Umfrage auch nochmal bestätigt,
dass eben eine wachsende Zahl eben bereit ist, für europäische Server-Standorte
halt eben tiefer in die Tasche zu greifen.
Ja, sollte den Anbietern dann auch irgendwie Zeichen geben, dass es da ein guter
Moment ist, auch zu investieren.
Richtig, genau. Norwegen bestätigt Millionenbußgeld gegen Grindr und stellt
eben fest, dass die Einwilligungspflichten nicht erfüllt worden sind und auch
es hier besonders um sensible Daten geht.
Die Berufung von Grindr gegen die Datenschutzstrafe wurde vom norwegischen Berufungsgericht
Borgating-Langmannstreet abgewiesen.
Die Buße belief sich 2024 auf 65 Millionen norwegische Kronen.
Das sind umgerechnet 5,5 Millionen Euro.
Nach der aktuellen Entscheidung bleibt dieses wohl auch bestehen.
Das Gericht bestätigte hier drin, dass eben das Teilen von Grindr von Nutzerdaten,
damals handelte es sich eben um Standortdaten, aber auch IP- und App-IT-Daten,
dass diese halt eben nicht ohne eine gültige Einwilligung erfolgt sind und dass
schon allein die Tatsache, dass jemand Grindr nutzt,
eine besondere Kategorie personenbezogener Daten sei im Sinne von Artikel 9 DSGVO.
Also wer es nicht weiß, Grindr ist eben ein Dating-Portal, was eben insbesondere
Personen aus der LGBTQ-Szene die Möglichkeit gibt, sich zu vernetzen, pumpen und zu treffen.
Ja, jedenfalls war das halt so ein bisschen auch die Diskussion dabei,
dass Grindr eben gesagt hat, nee, allein, dass jemand bei uns...
Sich anmeldet und wir dann vielleicht an den Werbepartner diese Daten teilen,
da sahen sie halt eigentlich den Artikel 9 nicht als anwendbar an.
Und das hat jetzt eben das Gericht halt, hier hat das Gericht jetzt auch dem widersprochen.
Deswegen, es ist zwar noch eine Revision möglich, also das ist noch nicht abgelaufen,
die Frist hierzu, aber nichtsdestotrotz haben wir es jetzt nochmal mitgebracht.
Ich weiß gar nicht, ich glaube, wir haben damals 2024, genau,
hatte ich auch gesehen, haben wir auch zu berichtet, Aber vielleicht nochmal
besonders betonswert eben das Thema Klarstellung beim Thema besondere Kategorien.
Das ist also hier auch eine durchaus Ableitung aus dem Kontext heraus,
durchaus ausreichend sein kann, um Daten als sensibel zu qualifizieren und somit
auch das eben strengere Anforderungen greifen.
Und dass eben auch hier in diesem Urteil nochmal auch die Einwilligungshürden
erhöht werden oder wurden.
Denn hier war es so, dass eben das Akzeptieren von Datenschutzhinweisen und
daraus auch das bloße Weiternutzen einer App für Grindr damals ausgereicht hat,
um eben eine wirksame Werbeeinwilligung einzuholen.
Aber ich glaube, das ist jetzt wirklich wenig überraschend.
Das wissen wir, glaube ich, jetzt schon mittlerweile schon aus sehr vielen Entscheidungen,
dass das als wirksame Einwilligung eben nicht ausreichend ist.
Ich bin schon durch mit meinen Meldungen für diese Woche. Die drei genannten
waren es. Ich habe ja aber noch mehrere Veröffentlichungsveranstaltungen mitgebracht.
Vielmehr mehrere Veröffentlichungen des Europäischen Datenschutzbeauftragten.
Der war nämlich fleißig in den letzten Tagen, in dieser Woche mehrere Themen hat er veröffentlicht.
Unter anderem hat er überarbeitete Leitlinien für den Umgang mit generativer KI vorgestellt,
sich auch nochmal zu den Zuständigkeiten der Überwachung des neuen Ein- und
Ausreisesystems im Schengen-Raum geäußert und über die Chancen des Secure Multiparty
Computation Systems berichtet,
mit dem mehrere verantwortliche Stellen
jeweils Daten austauschen und dann Berechnungen durchführen können.
Also zum Beispiel Krankheitsvorhersagemodelle bei Krankenhäusern etc.
Das alles verlinken wir euch nochmal in den Shownotes zu den jeweiligen Veröffentlichungen.
Was wir auch in die Shownotes packen, ist eine Checkliste für Datenschutz und
Datensicherheitsstandards bei Anträgen auf Datenzugang nach Artikel 40 Absatz
4 DSA. hey, jetzt schluckt vielleicht der eine oder andere und sagt, was soll das denn?
Also der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit
hat halt eben neue Regelungen des DSA, also Digital Services Act, erläutert.
Und diese sollen eben Forschenden ab Ende Oktober jetzt ermöglichen,
Zugang zu nicht öffentlichen Daten sehr großer Online-Plattformen und Suchmaschinen
zu beantragen, um eben systemische Risiken zu untersuchen.
Es ist nachvollziehbar, dass es hier datenschutzrechtliche Anforderungen einzuhalten
gilt und das möchte man jetzt natürlich mit dieser Checkliste auch mit unterstützen.
Also wen es interessiert, schaut gerne bei uns einmal in den Shownotes vorbei.
So, das war's für heute. Mir hat sehr, sehr viel Spaß gemacht.
Ich finde, das könnten wir öfter tun.
Wie gesagt, unsere Cutter uns, glaube ich, dafür hassen. Aber wir haben sehr, sehr viel gelacht.
Ich hoffe, das ist rübergekommen in der Folge. Lieber Gregor, vielen Dank dir.
Ja, danke dir auch. Und schaurige Grüße, unsere Hörerinnen und Hörer.
Richtig, genau. Wir wünschen euch heute ein schönes Halloween-Fest,
falls ihr es denn feiert.
Viel Süßes, wenig Saures. und wünschen euch ein schönes Wochenende und sagen bis zum nächsten Mal.
Bis bald.

    Das könnte Sie auch interessieren

    Pflichtenkollision im Auskunftsrecht – DS News KW 43/2025

    migosens Podcast

    Bußgeld gegen Ikea wegen Videoüberwachung – DS News KW 42/2025

    BfDI veröffentlicht Datenbarometer <bfdi veröffentlicht="" datenbarometer="">– DS News KW 41/2025</bfdi>

    Podcastcover Themenfolge Datenschutzfreundliche Webseitentools

    Datenschutzfreundliche Webseitentools Teil 2 – Philipp Roth im Datenschutz Talk Podcast