DSGVO Reform zu grenzüberschreitenden Verfahren – DS News KW 47/2025

Transkript zur Folge:

Was wünscht man denn da?
Genau, der hessische Bau, der hessische. Ja, wir schneiden einfach die komplette Folge raus.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Bigosense.
Heute ist der 21.11.2025. Ich sehe fast einen Monat bis zu Weihnachten und Redaktionsschluss
war heute um 10 Uhr morgens.
Bei mir ist mein lieber Kollege Gregor Wortberg.
Hallo Natalia.
Hallo Gregor und mein Name ist Natalia Wurzniak.
Wir haben heute wieder einen bunten Blumenstrauß an Themen mitgebracht.
Gregor, erzähl mal, was hast du?
Ja, ich habe heute drei Themen mitgebracht. Einmal ein Urteil des Oberlandesgerichtes in Thüringen.
Das hat eine Entscheidung zur biometrischen Überwachung von Studierenden getroffen.
Dann hat sich der EU-Rat auf eine Reform der DSGVO im Kontext der Durchsetzung
in der europäischen Zusammenarbeit geeinigt.
Und der hessische Datenschutzbeauftragte hat seinen Prüfbericht zur Nutzung
von M365 veröffentlicht.
Klingt spannend. Ich habe auch ein paar Themen dabei. Zum einen eine kleine
Info, ein Ausblick in eigener Sache, kann man sagen.
Dann habe ich das Sozialgericht Dresden. Das Gericht hat sich mit dem Thema
richtiges Löschen beschäftigt.
Dann habe ich das Verwaltungsgericht Berlin mitgebracht. Das hat sich mit der
gemeinsamen Verantwortlichkeit beim Lettershop auseinandergesetzt.
Ich habe zwei Bußgelder aus Wienland mitgebracht. und ich glaube,
wir beide haben wir auch noch etwas aus der Rubrik Veröffentlichung und Veranstaltung.
Ich schlage es jedes Mal.
Wollte ich natürlich auch diesmal nicht.
Gut, ich komme zu unserem
kleinen Ausblick, den wir mitgebracht haben, den ich gerade angedeutet habe.
Und zwar steht für uns oder bei uns eine neue Themenfolge an.
Denn nächste Woche haben wir wieder eine spannende Themenfolge für euch und
Heiko hatte dafür einen besonderen Gast am Mikrofon, nämlich Professor Dr.
Dieter Kugelmann, den Landesdatenschutzbeauftragten in Rheinland-Pfalz.
Es geht um echte Fälle aus der Aufsicht, wie Unternehmen mit Löschpflichten
umgehen sollten, was bei komplexen Auskunftsersuchen zu beachten ist und wie
lange Einwilligungen eigentlich gültig bleiben.
Außerdem gibt Professor Kugelmann einen exklusiven Einblick in ein neues Projekt,
eine Datenschutz-Sandbox, mit der
Innovation und Datenschutz künftig enger zusammen gedacht werden sollen.
Von daher kann ich, glaube ich, guten Gewissens empfehlen, unsere neuen Themenfolge.
Schaut gerne nächste Woche rein und wir freuen uns, wenn ihr reinhört.
So, und dann sind wir schon direkt bei deinem ersten Thema, Gregor.
Ja, vielen Dank, Natalia. Ich starte, wie angekündigt, mit dem Thüringer Oberlandesgericht.
Das hat entschieden, dass die biometrische Überwachung von Studierenden in Form
von Proctoring bei Online-Prüfungen rechtswidrig ist. Zur Einordnung,
Proctoring ist die Überwachung bzw.
Beaufsichtigung von Online-Prüfungen zur Identitätsfeststellung oder halt auch
zur Verhinderung von Betrugsversuchen durch die Studierenden.
Teil kann zum Beispiel auch regelmäßig die Installation von Spyware sein auf
den Rechnern, also dass man dann sieht, welche Mausbewegung hat der Studierende bzw.
Werden noch andere Browserfenster geöffnet, um vielleicht doch nochmal KI zu erzeugen.
Zu befragen, was Prüfungsfragen angeht.
War jetzt aber gar nicht Teil dieser Entscheidung, also das Letztere,
die Spiral, sondern da ging es dann tatsächlich um den Einsatz von Gesichtserkennung.
Kerne Entscheidung ist, dass eben diese Gesichtserkennung und die Cloud-Übertragung
bei diesen Online-Prüfungen einen tiefen Eingriff in die Grundrechte darstellen.
Betroffen war eine Studentin der Universität Erfurt, die gegen diesen Einsatz
der Software WiseFlow der Universität zu Zeiten der Corona-Pandemie geklagt hatte.
Dieses Programm nutzt eben die Gesichtserkennung und leitet Daten unter anderem
dann direkt an AWS, also Amazon Web Services, in die Cloud weiter.
Wie wir sicherlich alle wissen, fällt die Verarbeitung personenbezogener biometrischer
Daten unter die Kategorie besonders geschützter Daten nach Artikel 9.
Und die ist natürlich nur in Ausnahmefällen zulässig, insbesondere natürlich
mit freiwilliger und informierter Einwilligung. Und das eben stellte das Gericht
fest, dass das ein bisschen schwierig ist in dem Kontext.
Eine echte Freiwilligkeit war da bei den Studierenden eben nicht gegeben.
Die Teilnahme an so einer Prüfung war faktisch natürlich verpflichtend,
insbesondere da man ohne die Teilnahme das Studium ja auch nicht fortsetzen kann.
Also von daher hat es da an ein paar Ecken natürlich dann gemangelt und durch
die Rechtsverletzung erkannte das Gericht auch Schadensersatzansprüche der Klägerin an.
Da habe ich jetzt leider nichts weiteres gefunden, aber ist natürlich auch nochmal sicherlich spannend.
Ein Urteil mit Signalwirkung, weil nicht nur Hochschulen solche Technologien
nutzen, das kann natürlich auch am Arbeitsplatz in eine relevante Richtung gehen.
Zum Beispiel aber auch bei Zertifizierungen durch Dienste, Schulungen,
Zertifikatstellen, die ja auch regelmäßig online stattfinden,
wäre dann natürlich ein solches Vorgehen zu beachten.
Ich glaube, es ist ein Paradebeispiel dafür, wann eine Einwilligung nicht freiwillig ist.
Weil da hat man wirklich keine andere Wahl, als auf den Knopf,
ich willige, einzuklicken, weil man ansonsten ja von der Prüfung ausgeschlossen
würde oder jetzt im Arbeitsverhältnis seine Aufgabe nicht erfüllen könnte.
Also von daher, ich glaube, folgerichtig, das Urteil, absolut folgerichtig und
ich glaube, wichtig für unsere Zuhörer einfach, wenn solche Verfahren eingesetzt
werden, dass man da vielleicht einmal in das Urteil reinschaut und guckt,
was da noch für Schmankel drinstecken.
Genau.
So, dann ziehe ich weiter nach Dresden. Das Sozialgericht Dresden stellte fest,
dass das bloße Ausblenden von Daten in der Software keine Löschung darstellt.
Im konkreten Sachverhalt...
Nutzte das beklagte Jobcenter das Stammdaten-Erfassungs- und Pflegesystem,
abgekürzt STEP, der Bundesagentur für Arbeit.
Die Klägerin beantragte nach
einem Datenschutzvorfall die Löschung ihrer Daten aus eben diesem System.
Die Beklagte, also das Jobcenter, hat sich diesbezüglich auf das Ausblenden
in der elektronischen Akte berufen,
wobei auch technisch die Möglichkeit zum Wiedereinblenden gegeben war,
mit der Begründung, dass ein Löschen in der Software technisch nicht möglich sei.
Das Gericht führte hierzu sinngemäß aus, dass ein Löschen, wenn es also richtig
gemacht wird, den Personenbezug entzieht, sodass eine Wahrnehmung der enthaltenen
Informationen unmöglich wird.
Bloß der Beschränkung der Verarbeitung im Sinne von Artikel 18 DSGVO genügen
für eine Löschung jedoch nicht. Wenn also ein Wiedereinblenden der Informationen
wie hier möglich ist, liegt eine wirksame Löschung nicht vor.
Das Gericht verweist, dass die technischen Programme die geltenden Gesetze und
Betroffenenrechte umzusetzen haben, auch unter Hinweis auf Artikel 25 DSGVO
und eben nicht andersherum.
Insofern ist es Aufgabe des Beklagten bzw.
Der Bundesagentur für Arbeit,
sein Programm zur Nutzung seiner elektronischen Akte so umschreiben zu lassen,
dass ein irreversibles Löschen technisch tatsächlich auch erfolgen kann.
Zusammengefasst, eine irreversibel wirkende Löschfunktion ist Pflicht.
Das bedeutet, die Software oder eine Software, die zum Einsatz kommt,
muss datenschutzkonform gestaltet werden.
Technische Unmöglichkeit wird durch das Gericht und ich denke auch durch die
DSGVO nicht akzeptiert.
Was ist denn jetzt für uns für die Praxis relevant? Zum einen werden wir,
glaube ich, auch nicht müde zu wiederholen, die Überprüfung der Löschung.
Wir haben das Thema Löschkonzepte zwar öfter angesprochen, aber ich glaube auch
wirklich die Überprüfung der Löschfunktion an sich, dass die Löschung auch wie
vorgesehen, wie im Löschkonzept vorgesehen, auch funktioniert im System.
Das ist, glaube ich, auch ein Punkt, der ja auch berücksichtigt werden sollte.
Denn Artikel 17 Absatz 1 DSGVO sieht sowohl ein Recht auf Löschung als auch
eine Pflicht zu löschen vor.
So kann zum Beispiel eine zulässige Verarbeitung von Daten im Laufe der Zeit
gegen die DSGVO verstoßen, wenn diese Daten für die Erreichung der Zwecke,
für die sie erhoben wurden und verarbeitet wurden, zu einem bestimmten Zeitpunkt
eben nicht mehr erforderlich ist.
Da müssen diese Daten gelöscht werden, wenn diese Zwecke eben erreicht sind.
Insofern, die Löschung ist eine Pflicht und die Umsetzung der Löschung in den
vorhandenen Systemen ebenso.
Ich glaube, für die Praxis ein wichtiger Punkt.
Ja, eine Herausforderung für viele Unternehmen.
Definitiv, definitiv.
Die EU-Staaten haben im Ministerrat eine kleine, aber dennoch auch wichtige
Nachjustierung der DSGVO mit Blick auf grenzüberschreitende Verfahren beschlossen.
In der Kalenderwoche 25 haben wir erstmals über die Pläne berichtet.
Hintergrund ist unter anderem der Umstand, dass viele große Tech-Unternehmen
den Sitz in Irland haben. und dies in der Vergangenheit bekanntlichermaßen auch
zu langen Bearbeitungs- und Verhandlungszeiten geführt hat.
Kernidee der neuen Verfahrensregeln ist, dass nationale Aufsichtsbehörden enger
und klarer strukturiert zusammenarbeiten und es gemeinsame harmonisierte Maßstäbe
geben soll, wie Beschwerden angenommen,
geprüft und bearbeitet werden sollen.
Für weniger komplexe und eindeutige Fälle wird dann auch noch ein vereinfachtes
Kooperationsverfahren eingeführt mit dem Ziel, solche Vorgänge ohne große Abstimmung bzw.
Vielleicht auch Auseinandersetzungen zwischen den Behörden abschließen zu können.
Zudem, und das ist eine der wesentlichen Veränderungen, wurden zeitliche Leitplanken beschlossen.
Reguläre grenzüberschreitende Verfahren sollen in der Regel innerhalb von maximal
15 Monaten zum Abschluss kommen und in komplexen Fällen können diese dann aber
auch einmalig um maximal 12 Monate verlängert werden.
Für Beschwerden, welche über Kooperationsverfahren abgewickelt werden müssen,
gilt eine Frist von zwölf Monaten.
Also ist alles ein bisschen zusammengestaucht, aber was ja auch ganz schön ist eigentlich.
Die Verordnung oder die Anpassungen treten nach der Veröffentlichung im EU-Amtsblatt
in Kraft, gelten aber erst nach einer Übergangsphase von 15 Monaten vollständig.
Also Behördenunternehmen haben dann noch etwas Zeit, ihre Abläufe auch anzupassen.
Was wir an der Stelle empfehlen würden. Ja.
Dann komme ich zu einem nächsten Beurteil. Ich glaube, ich reise heute so durch Deutschland.
Das Verwaltungsgericht Berlin hat sich mit der datenschutzrechtlichen Verantwortlichkeit
im Kontext von Direktwerbung beschäftigt.
Im Kern entschied das Gericht, dass ein Unternehmen, welches eine Adresshändlerin
mit dem Versand von Werbung im sogenannten Lettershop-Verfahren beauftragt,
nicht als gemeinsam verantwortlich im Sinne von Artikel 26 Absatz 1 Satz 1 der DSGVO anzusehen ist.
Vorliegend, also im konkreten Fall, konnte das werbende Unternehmen die Zielgruppenmerkmale vorgeben,
also zum Beispiel Personen weiblich Alter 40 bis 50, hatte aber selbst keinen
Zugriff auf die genutzten Datenkategorien und damit auch keinen Einfluss auf
das Auswählen und Verwenden der Daten.
Zwar setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für die Selberverarbeitung
nach ständiger Rechtsprechung des EuGH nicht voraus, dass jeder von ihnen Zugang
zu den betreffenden personenbezogenen Daten hat.
Allerdings sind für eine gemeinsame Verantwortlichkeit mehrere Voraussetzungen
kumulativ zu sehen, so das Verwaltungsgericht Berlin.
Hier hatte die Klägerin nach Ansicht des Gerichts bereits keinerlei Einfluss
auf die Mittel der Datenverarbeitung, denn die Adresshändlerin führte den gesamten
Datenverarbeitungsprozess nach dem von ihr konzipierten Lettershub-Verfahren durch,
ohne dass die Klägerin die Möglichkeit gehabt hätte, auf die strukturelle bzw.
Organisatorische Ausgestaltung dieses Prozesses in irgendeiner Form einzuwirken.
Nach Ansicht des Gerichts kann das werbende Unternehmen damit bereits die Mittel
der Datenverarbeitung durch die Adresshändlerin nicht beeinflussen.
Auf die anderen Voraussetzungen kam es daheim nicht mehr an.
Das bedeutet, dass die bloße Festlegung des Werbezwecks und der Zielgruppe nicht
ausreicht, um eine gemeinsame Verantwortlichkeit für das Auswählen und Verwenden
der Adressdaten zu begründen. Ja, was bedeutet das für uns, für die Praxis?
Meiner Meinung nach hat sich das Verwaltungsgericht in dem Urteil mit der bisherigen
Rechtsprechung zum Thema gemeinsame Verantwortlichkeit auseinandergesetzt.
Insofern eine Empfehlung an der Stelle,
vielleicht so ein vorgezogener Lesehinweis oder Leseempfehlung,
das Urteil gegebenenfalls einmal in Ruhe durchzuarbeiten und die eigenen Verarbeitungen zu prüfen,
inwiefern Lettershop-Verfahren zum Einsatz kommen oder gegebenenfalls ähnliche
Verfahren, auf die die Grundsätze der gemeinsamen Verantwortlichkeit angewendet werden können.
Aber ich glaube, es ist immer noch in der Praxis ein Thema, also die gemeinsame
Verantwortlichkeit, wo noch viel Unsicherheit herrscht.
Und von daher begrüße ich das Urteil tatsächlich, weil es ja eine Zusammenfassung,
eine gute Zusammenfassung der bisherigen Rechtsprechung zu dem Thema ist.
Und weiter geht's.
Und weiter geht's. Wir blicken nach Hessen. Der hessische Beauftragte für den
Datenschutz und Informationsfrei, Prof.
Dr. Rossnagel, hat den Einsatz von Microsoft 365 in Hessen unter bestimmten
Voraussetzungen als positiv bewertet.
Nach umfassenden Gesprächen mit Microsoft kommt die Aufsichtsbehörde eben zu jenem Ergebnis.
Unter bestimmten Voraussetzungen lässt sich die Software in Hessen datenschutzkonform einsetzen.
Seit Anfang 2025 hatte die Behörde mehrere Gesprächsrunden mit Microsoft geführt
und geprüft, ob sich die Vorgaben der DSGVO eben beim Einsatz von M365 dann auch erfüllen lassen.
Hintergrund, die DSK, also die Datenschutzkonferenz, hatte bereits im Jahr 2022
erhebliche Mängel im damaligen Datenschutznachtrag von Microsoft festgestellt.
Insgesamt sieben Kernpunkte wurden da seinerzeit festgestellt,
die den Anforderungen eben nicht entsprachen.
Und drei Jahre später hat sich aus Sicht der hessischen Aufsichtsbehörde nun
einiges verändert, was zu dieser Entscheidung führte.
Rechtlich einerseits natürlich durch das EU-Untertitel.
US-Data-Privacy-Framework, dann organisatorisch durch die Microsoft-EU-Datengrenze
und inhaltlich war Microsoft sein Datenschutzkonzept wohl detailliert erläutert
und den Datenschutznachtrag auch weiterentwickelt habe.
Außerdem stelle Microsoft zusätzlich Unterlagen bereit, die den Verantwortlichen
oder die grundsätzlich Verantwortlichen bei der Dokumentation helfen,
das sogenannte M365-Kit, was jeder Kunde quasi runterladen kann.
Der jetzt veröffentlichte Bericht, umfasst 137 Seiten und enthält auch konkrete
Empfehlungen für Behörden und Unternehmen und den verlinken wir natürlich gerne
in den Shownotes. Also eine gute Sache.
Ich glaube für die Praxis sehr gut, einfach um die eigene Anbindung von Microsoft
365 Unternehmen zu prüfen und zu gucken, was kann ich selber technisch nochmal.
Ich komme um Einzelfallprüfung komme ich nicht umher, das ist auf gar kein Fall,
also die muss ich schon noch machen, aber weg von der pauschalen Ablehnung ist,
denke ich, auch ein guter Weg.
Ja, also ich glaube, es ist wie bei jeder Software. Es kommt wirklich auf den
konkreten Einsatz drauf an.
Mit welchen Daten befülle ich die Software?
Welche konkreten technischen organisatorischen Maßnahmen treffe ich?
Und welche Risiken verbleiben? Und das ist auch wieder der Punkt der Angemessenheit.
Man kann es nicht verallgemeinern, aber es muss wirklich im konkreten Einzelfall
die konkrete Verarbeitung anschauen. Ja, ich habe noch ein weiteres Thema.
Dafür lasse ich Deutsch und gehe nach Finnland.
Die finnische Aufsichtsbehörde hat sich nämlich zuletzt mit gleich zwei Fällen
beschäftigt, in denen es bei der
Einführung von neuen Systemen zu einem Datenschutzvorfall gekommen ist.
Bei dem ersten Fall, bei der S-Bank, hat ein ungeprüftes Software-Update Kunden
die Anmeldung mit fremden Daten ermöglicht.
Das Institut hatte das neue Authentifizierungssystem unzureichend getestet und
verletzte die Prinzipien der Datenminimierung.
Die Aufsichtsbehörde, die finnische Aufsichtsbehörde, hat hierfür ein Bußgeld
in Höhe von 1,8 Millionen Euro verhängt.
In einem weiteren Fall, bei der Aktierbank führte ein technischer Wechsel im
starken Authentifizierungsdienst, also sehr ähnlich, führte dazu,
dass Nutzer Zugriff auf Daten anderer Kunden erhielten.
Die finnische Aufsicht rückte auch hier Mängel im Change Management und bei den Tests.
Sie verhängte auch hier ein Bußgeld in Höhe von 865.000 Euro und eine Rüge wegen
Verletzung der Grundsätze in Artikel 5, 25 und 32 DSGVO. Beide Fälle sind von
September beziehungsweise Oktober diesen Jahres.
Beide Fälle machen deutlich, wie wichtig es ist, bei wesentlichen Änderungen,
bei der Einführung von neuen Systemen oder bei wesentlichen Updates,
was ja auch unter Änderung fällt,
ausreichende Tests durchzuführen, bevor die Aktualisierung, sage ich mal,
live geschaltet, produktiv gesetzt wird.
Insofern auch wichtig der Hinweis der Aufsichtsbehörde auf Datenschutz durch
Technikgestaltung, Artikel 25, der auch berücksichtigt werden sollte.
Insofern, ja, es sind nicht immer nur die Software, die im laufenden Betrieb
vielleicht nicht richtig implementiert wurde, sondern auch, dass man schon den
Schritt vorher quasi, bevor die Implementierung der Go-Live stattgefunden hat,
dass man auch da als Unternehmen Augenmerk drauf macht, habe ich wirklich alle
Szenarien getestet, habe ich alles überprüft, bevor ich es wirklich live.
Nehme, bevor ich das wirklich mit Produktivdaten befülle? Oder muss ich vielleicht
noch mal ein bisschen länger testen, um auf der sicheren Seite zu sein?
Ist auf jeden Fall empfehlenswert.
Auf jeden Fall.
Ich komme zu meinem ersten Veröffentlichungshinweis und da komme ich zu unseren
kleinsten Mitbürgerinnen und Mitbürgern, nämlich zu den Kindern.
Die Datenschutzkonferenz hat anlässlich des Internationalen Tags der Kinderrechte
zehn Vorschläge zur Änderung der DSGVO, Zwecksverbesserung der Rechte von Kindern, veröffentlicht.
Diese umfassen eigene Verarbeitungszwecke, Rechtsgrundlagen,
Punkte zur Technikgestaltung sowie auch zur Risikobetrachtung im Rahmen von
Datenschutzfolgenabschätzung dient natürlich der Sensibilisierung und ich glaube,
in dem Kontext kann man das nicht genug tun und auch immer wieder betonen,
dass Kinder Daten auch zu schützen sind.
Richtig. Als weiterer Hinweis Leitlinie für das Risikomanagement von KI-Systemen.
Der Europäische Datenschutzbeauftragte der EDPS hat eine Leitlinie für das Risikomanagement
von KI-Systemen veröffentlicht.
In seinem Bericht hebt er hervor, dass KI-gestützte Datenverarbeitung besondere
Risiken für die Rechte und Freiheiten von Betroffenen mit sich bringt.
Deswegen sei ein systematisches Risikomanagement erforderlich.
Die Leitlinien geben einen Überblick über gängige KI-Entwicklungs- und Beschaffungsprozesse,
betonen die Bedeutung von Interpretierbarkeit und Erklärbarkeit und beschreiben
zentrale Risikobereiche wie Fairness, Genauigkeit, Datenminimierung und Sicherheit.
Außerdem sind in dem Bericht auch mögliche technische Maßnahmen enthalten bzw.
Benannt, mit denen EU-Einrichtungen datenschutzrechtliche Anforderungen besser einhalten können.
Und zum Abschluss noch ein Update zu unserer Folge in der letzten Woche,
in der Heiko den Leak des Entwurfs des Omnibus-Verfahrens der EU-Kommission
vorgestellt und eingeordnet hat.
Der Vorschlag wurde vielleicht auch, man könnte munkeln, in Zusammenhang mit
dem Leak, auch offiziell durch die EU-Kommission veröffentlicht und ist jetzt
auch auf der Webseite einsehbar.
Und damit sind wir am Ende unserer heutigen Podcast-Folge. Wir hoffen, es hat euch gefallen.
Wir hoffen, ihr habt was mitgenommen.
Und ja, wenn ihr das heute hört, viel Spaß heute auf dem Weg nach Hause vielleicht.
Ansonsten ja, ein schönes Wochenende und einen guten Start in die neue Woche. Bis bald. Bis bald.