EuGH zu Informationspflichten bei Bodycams – DS News KW 51-2025

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Heute ist Freitag, der 19. Dezember 2025.
Unser Redaktionsschluss war um 10 Uhr und bei mir ist mein lieber Kollege Gregor Wortberg.
Hallo Natalia.
Hallo Gregor, wir haben heute druckfrisch wieder ein paar spannende Themen mitgebracht.
Gregor, was hast du dabei?
Ja, druckfrisch ist ein gutes Stichwort, das BGH, ein BGH-Urteil vom 18.12.,
also vom gestrigen Freitag, habe ich mitgebracht, bezüglich der Speicherdauer
erlegter Forderungen durch die Schufa.
Dann hat die Berliner Datenschutzaussicht nochmal im Kontext von TikTok-Stellungen
bezogen und eine interessante Meldung zum Thema Löschen aus Bayern,
habe ich mitgebracht. Darüber hinaus hat die DSK getagt in einer 110.
Konferenz und da gab es eine Pressemitteilung und auch noch ein paar Orientierungshilfen.
Nicht schlecht. Ich habe drei Themen mitgebracht, nämlich zum einen die Information
über die Datenverarbeitung beim Einsatz von Bodycams, die nach dem EuGH verpflichtend ist.
Dann das ein Urteil des OGH Österreich, wonach Meta-Nutzern kompletten Datenzugang gewähren muss.
Und der EU-Rat, der den Weg geebnet
hat für ein Enhanced Border Security Partnership Programm mit den USA.
Ja, ich glaube, wir haben einiges dabei. Ich würde sagen, wir legen direkt los.
Wir legen los, genau. Stichwort BGH hatte ich gerade schon gesagt.
Der Bundesgerichtshof hat am 18.
Dezember entschieden, dass die Schufa erledigte Zahlungsauffälle nicht sofort
löschen muss, auch wenn die Forderung bereits beglichen wurde.
Somit stärkte der BGH die Praxis
der Schufa und hob damit ein Urteil des Oberlandesgerichts Köln auf.
Bei Sachen zum Hintergrund vielleicht mal, die Schufa speichert und bewertet,
wie uns sicherlich allen bewusst ist, Daten zu Zahlungsausfällen,
um der kreditgebenden Wirtschaft das Ausfallrisiko von Verbraucherinnen und
Verbrauchern aufzuzeigen.
Aufzuzeigen. Und deutsche Auskunftteien haben sich deshalb auch einfach auf
ein eigenes Regelwerk, also ein Code of Conduct, verständigt,
das auch vom hessischen Datenschutzbeauftragten zum 1.
Januar 2025 genehmigt wurde.
Der Code of Conduct sieht für erledigte Zahlungsstörungen in der Regel eine
Speicherfrist von drei Jahren, in bestimmten Fällen eine verkürzte Frist von 18 Monaten vor.
Und der BGH machte in seinem Urteil deutlich,
dass das von Wirtschaftsauskunft ein angewandte Regelwerk im Regelfall eben
einen fairen Ausgleich zwischen den Interessen von Betroffenen und der Wirtschaft
herstelle und somit keine sofortige Löschung eben erforderlich sei.
Hintergrund ist, dass eben ein Verbraucher die Schufa auf immateriellen Schadensersatz
und Erstattung vorgerichtlicher Kosten verklagt hatte, weil Informationen zu
bereits beglichenen Forderungen eben weiterhin gespeichert wurden.
Da hatten wir auch drüber berichtet.
Wie gesagt, jetzt geht es aber erstmal wieder zurück ans Oberlandesgericht.
Der Grundsatz ist jetzt aber erstmal, dass die Schufa weiß, okay,
und auch weitere Auskunftteilen wissen, der Code of Conduct ist jetzt soweit
erstmal zulässig, nach Ansicht des BGH.
Das OLG hatte nämlich erst die Argumentation des Klägers verfolgt und die sofortige
unverzügliche Löschung von Datennachzahlung dann gefordert. Von daher,
im konkreten Fall ist das Ganze jetzt noch nicht zu Ende.
Das liegt jetzt beim OLG nochmal hinsichtlich etwaiger Schadensersatzansprüche.
Aber für die breite Masse erstmal interessant, dass keine sofortige Löschung erforderlich ist.
Ich glaube auch ganz wichtig, sich zu überlegen oder nochmal zu vergegenwärtigen,
was der Hintergrund der Auskunft dahin ist, nämlich der Schutz des Rechtsverkehrs
vor Personen, die den Rechtsverkehr schaden wollen oder schaden.
Insofern finde ich das Urteil auch nachvollziehbar, dass eine sofortige Löschung,
auch wenn eine Schuld beglichen wurde und quasi ausstehende offene Zahlungen
nicht mehr offen sind, sondern eben bezahlt wurden,
dass da noch eine angemessene Frist ermöglicht wird oder vorgesehen sein soll,
während der eben diese Daten noch bei der Schufa vorgehalten werden können. Von daher...
Im Hinblick auf den Schutz des Rechtsverkehrs finde ich es irgendwo auch nachvollziehbar.
Interessant, jetzt nochmal vielleicht dann im Detail, wie das OLG da weiter
bewertet, wie angemessen die genannten Fristen im Code of Conduct sind,
was man da dann vielleicht im Grundsatz auch nochmal rausziehen kann.
Aber das werden wir dann sehen.
Genau. Ich komme zu meinem ersten Urteil. Der Europäische Gerichtshof der EuGH
hat sich in einem Verfahren aus Schweden geäußert und klargestellt,
dass Verkehrsbetriebe, die bei Fahrscheinkontrollen Bodycams einsetzen,
die betroffenen Fahrgäste unmittelbar über die Datenerhebung informieren müssen.
Der EuGH bestätigt die schwedische Datenschutzbehörde.
Diese hatte nämlich zuvor ein Stockholmer KERS-Unternehmen zu einer Geldbuße verurteilt,
denn mit den Körperkameras waren personenbezogene Daten unmittelbar bei den
gefilmten Personen erhoben worden, ohne dass diese im konkreten Fall unmittelbar
die erforderlichen Informationen erhalten hätten.
Dabei genügt es für den EuGH, wenn die wichtigsten Informationen einem Hinweisschild
entnommen werden können beziehungsweise auf einem Hinweisschild angezeigt werden
und alle anderen an einem leicht zugänglichen Ort zur Verfügung gestellt werden.
Zu den wichtigsten Informationen gehören für den EuGH unter anderem der Name
und die Kontaktdaten der verantwortlichen Stelle, der Zweck der Verarbeitung,
ihre Rechtsgrundlage, die Empfänger.
Die Dauer der Speicherung, sowie auch die Informationen über das Recht auf Auskunft
über die Daten und deren Löschung.
Also schon nicht so wenige Informationen, die als wichtig eingestuft werden
und die eben unmittelbar bereitgestellt werden müssen.
Interessant an der Stelle oder an dem Urteil ist vielleicht auch,
dass der EuGH sich ausgehend von der Vorlagefrage mit der Abgrenzung der Informationspflicht
nach Artikel 13 und Artikel 14 beschäftigt hat.
So ist es für die unmittelbare Datenerhebung beim Betroffenen eben nicht zwingend,
dass die betroffenen Personen die Daten wissentlich oder aktiv zum Beispiel
durch eine besondere Handlung wie das Ausfüllen eines Formulars bereitstellen müssen.
Die Gewinnung der Daten durch nur Beobachtung der Person reicht für die Erhebung beim Betroffenen aus.
Die Erhebung beim Betroffenen erfordert also nur eine Handlung des Verantwortlichen,
der hier die aktive Rolle spielt.
Der Betroffene selber kann passiv bleiben.
Ja, in Abgrenzung dazu ist eine Datenerhebung, für die die Informationspflicht
nach Artikel 14 gelten würde, die greift in solchen Fällen, in denen der Verantwortliche
keinen direkten Kontakt mit den betroffenen Personen hat.
Und die Daten nicht von der Person, sondern aus einer anderen Quelle erhält.
Das heißt, die Aktivität der betroffenen Person ist nicht das Abgrenzungskriterium,
sondern wirklich, ob die Daten beim Betroffenen erhoben werden oder eben bei einer anderen Quelle.
Insofern ja an der Stelle noch eine dankbare Klarstellung durch den EuGH,
weil das auch eine der Vorlagefragen war.
Ja, wir werden sehen, wie sich das Urteil auch in anderen Bereichen auswirkt,
zum Beispiel bei uns in Deutschland bei Polizeikontrollen, bei denen auch eine
Bodycam zum Einsatz kommt.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit,
Michael Kamp, hat am gestrigen Donnerstag, also am 18.
Dezember, in einer Pressemitteilung die aktuelle Sachlage im Kontext der Datenübermittlung
nach China und anderen Drittstaaten durch TikTok zusammengefasst.
Zusammengefasst, die irische Datenschutzbehörde hatte ja im April 2025 ein Bußgeld
von 530 Millionen Euro gegen TikTok verhängt und insbesondere auch die Datenbemittlung
nach China wegen DSGVO-Verstößen untersagt.
Der irische High Court hatte die Maßnahme dann im November 2025 vorläufig außer
Kraft gesetzt und bis zur endgültigen gerichtlichen Klärung muss TikTok da jetzt
erstmal seine Praktiken nicht ändern.
Als Auflage für diesen Aufschub ist TikTok verpflichtet worden,
alle europäischen Nutzerinnen und Nutzer aktiv über das laufende Aufsichts-
und Gerichtsverfahren zu informieren.
Inhalt der Benachrichtigung war unter anderem eben, dass die Daten weiterhin
außerhalb der EU, zum Beispiel eben in China, verarbeitet werden.
Die Datenschutzbehörden diese Praxis als DSGVO-widrig bewerten und die Rechtmäßigkeit
der Übermittlung gerichtlich noch überprüft wird.
Und Maike Kamp begrüßt die Informationspflicht, da vielen zudem ja auch jüngeren
Nutzern der Umfang der Datenverarbeitung durch TikTok, also wie zum Beispiel
das Verwenden von Klickverhaltenstandort, aber auch Finanzdaten nicht bewusst ist.
Und zudem warnt sie eben halt auch vor den Risiken von Datenverarbeitung in
Ländern wie etwa China, die kein vergleichbares Datenschutzniveau mit der EU halt haben.
Eine Empfehlung hat es auch noch ausgesprochen an Nutzerinnen und Nutzer.
Es wird empfohlen, die Datenschutzhinweise zu lesen, App-Berechtigung vielleicht
auch mal zu prüfen, dass man die ein bisschen restriktiver einstellt und eben
auch sensibel damit umzugehen, welche Daten ich dann letztlich über den Dienst auch teile.
Dann komme ich zu meinem nächsten Thema, zum österreichischen Höchstgericht OGH.
Diese verurteilte Meta dazu, einem Betroffenen innerhalb von 14 Tagen vollständigen
Zugang zu allen personenbezogenen Daten zu gewähren.
Natürlich nur die, die seine Person betreffen.
Inklusive Quellen, Empfänger und Verarbeitungszwecke.
Insbesondere zum Thema Auskunft stellte OGH fest,
dass sich das Recht auf Auskunft nicht bloß auf eine Kopie aller persönlichen
Daten erstreckt, sondern auch auf die Offenlegung der Zwecke der Verarbeitung
sowie die Quellen und Empfänger umfasst.
An sich also für diejenigen unter uns, die sich mit dem Datenschutz ein bisschen
auseinandersetzen, nichts Neues.
Da das Verfahren bereits seit elf Jahren läuft, verkürzt der OGH hier die Frist,
in der das Auskunftsbegehren zu beantworten ist, oft nur noch 14 Tage.
Und vielleicht noch interessant, durch die Vorinstanz wurde dem Betroffenen
hierfür bereits 500 Euro Schalensersatz zugesprochen.
Und dies wurde durch den EuGH nicht weiter angepasst. Interessant ist allerdings,
dass davon ausgegangen werden kann, dass zahlreiche weiteren Klagen folgen werden,
zum Beispiel auch im Hintergrund auf...
Das neue Verbandsklagengesetz. Insofern, wir werden abwarten müssen,
was da jetzt nochmal folgt.
Das Urteil selbst hat sich konkret mit drei Vorwürfungen beschäftigt.
Meta soll nicht nur zu wenig Auskunft gegeben haben, sondern auch zu viele Daten,
zum Beispiel über sogenannte Meta-Plugins gesammelt haben und Werbung unzulässig,
weil ohne Einwilligung personalisiert haben.
Allerdings bezieht sich die Entscheidung auf die Rechtslage 2020 und seitdem
hat sich auch bei Meta einiges getan.
Insbesondere zum letzten Punkt bietet Meta-Nutzern seit 2023 die Möglichkeit,
sich durch Zahlung von Gebühren den Werbezuschnitt zu verbieten.
Insofern ist nicht klar, was das genau bedeuten würde für das Urteil,
denn der OGH lässt dies in seinem Urteil offen. Ja, für diejenigen von unseren Zuhörern, die...
Das Thema aber noch gerne genauer beleuchten möchten, verlinken wir das Urteil
natürlich in den Shownotes.
Für unsere nächste Nachricht blicken wir in die bayerische Gemeinde Kipfenberg.
Übrigens der geografische Mittelpunkt Bayerns mit guten 6.000 Einwohnern.
Dort wurden innerhalb von zwei Jahren zweimal alte Festplatten und Sicherungsbänder
in offen zugänglichen Kellerräumen eines Mehrfamilienhauses entdeckt.
Und die Datenträger lagen unverschlossen dort, Ort, wo jederzeit Reinigungspersonal,
Handwerker und auch andere Personen zu drin hatten.
Grundsätzlich natürlich schon mal ein interessanter Verstoß gegen Sicherheitsanforderungen.
Interessant war allerdings, dass entgegen der Versicherung der Gemeinde,
die sagte, dass die Daten gelöscht worden seien, doch noch einige Daten drauf waren.
Nämlich Verzeichnisse mit datensensibler Bereiche wie Personalwesen,
Bauverwaltung und Standesamt der Gemeinde.
Also ein ganzes Potpourri an Daten, die da noch zu finden waren.
Und die erste Folge für die Gemeinde ist jetzt halt auch eine vor Ort Kontrolle
der zuständigen bayerischen Aufsichtsbehörde bei LFD.
Warum nehmen wir es in dem Podcast mit auf? Es ist eigentlich grundsätzlich
eine Sensibilisierung.
Und das Ganze zeigt nämlich einfach nochmal, wie wichtig es ist,
die technisch wirksame Löschung und auch ordnungsgemäße Vernichtung von Datenträgern
im Unternehmen sicherzustellen.
Und im besten Fall vielleicht auch einen Dienstleister zu beauftragen,
der das Ganze auch nochmal protokolliert und dokumentiert, dass man die Daten halt auch gelöscht hat.
Und man sollte vielleicht auch auf Lagern verzichten und anstatt einfach zu
Lagern dann auch vernichten.
Das Ganze vielleicht auch mit Blick auf Zweckbindung und Speicherbegrenzung
bei der Verarbeitung und Speicherung von personenbezogenen Daten sicherlich auch empfehlenswert.
Grundsätzlich, und das sieht man auch in der Praxis immer, dass es wichtig ist,
da klare Regelungen auch im Umgang mit Datenträgern im Unternehmen zu treffen,
damit solche Vorfälle dann auch gar nicht erst passieren.
Ich glaube, der Fall ist tatsächlich spannend, weil er zeigt,
an welchen Stellen man alles falsch machen kann als verantwortliche Stelle.
Zum einen, indem man die alten Festplatten nicht richtig löscht,
kein Löschprotokoll erstellt, also nicht dokumentiert, dass sie gelöscht wurden,
vielleicht auch nicht überprüft, ob sie richtig gelöscht wurden.
Also keine Stichproben macht, ob die Löschung wirklich durchgelaufen ist.
Aber auch nachdem das ja aufgefallen ist, hat glaube ich die Gemeinde keine
Meldung an die Aufsichtsbehörde gemacht, weil ich mich erinnere.
Ja, danke für den Hinweis. Die ist auch unterblieben, haben sie auch unterlassen.
Das war jetzt natürlich auch nicht sonderlich förderlich.
In der Meldung ist die ganze Zeit heiße jetzt auch nochmal aufgegriffen,
waren aber auch Fotos drin von den Bürgern, von den Kisten.
Das waren auch wirklich Pappkisten mit Festplatten.
Dabei waren aber auch noch Nummernschilder gelagert. Also das war irgendwie
alles kreuz und quer in irgendeinem Kellerraum halt drin.
Von daher an sich, man würde denken, eine kleine Gemeinde, die wirklich die
Aufsichtsbehörde auf den Plan ruft, aber ich glaube insofern auch spannend hier
an der Stelle zu sehen und festzuhalten,
dass eine unterbliebene Meldung tatsächlich dazu führen kann,
dass die Aufsichtsbehörde an die Tür klopft und insofern auch als Teil der Sensibilisierung
für unsere Zuhörer, glaube ich, auch ein wichtiger Hinweis.
Okay, dann komme ich zu meinem nächsten Thema.
Der EU-Rat hat nämlich den Start von Verhandlungen mit den USA für ein Abkommen
autorisiert, das Enhanced Border Security Partnership.
Es soll US-Behörden Zugriff auf biometrische Daten aus Polizeidatenbanken ermöglichen,
konkret auf Fingerabdrücke, Gesichts-, Iris- und sogar DNA-Daten,
wobei die EU im Gegenzug auch Zugang zu US-Datenbanken erhalten soll.
Wenn die Übereinkunft dann tatsächlich geschlossen wird, soll sie die rechtliche
Basis für den Austausch dieser Informationen zwischen der EU und den USA schaffen
und der Überprüfung der Identität von Reisenden dienen.
Konkret soll sie dienen zur Bekämpfung von irregulärer Migration,
sowie die Prävention und Aufdeckung schwerer Straftaten und terroristischer
Handlungen im Kontext des Grenzmanagements ermöglichen.
Das Rahmenabkommen soll aber noch nicht direkt den Zugriff auf die EU-Polizeidatenbanken erlauben.
Vielmehr soll es unter diesem Rahmenabkommen quasi als Dach,
nächsten Schritt Aufgabe der einzelnen EU-Staaten sein,
bilateriale Verträge mit den USA zu schließen, die weitere Feinabstimmungen
zum Beispiel zu den konkreten Datenbanken und nationalen Anforderungen enthalten können.
Kritiker warnen jedoch bereits jetzt schon vor den niedrigen Datenschutzstandards
in den USA. Die US-Grenzbehörde plant zum Beispiel über eine Smartphone-App
umfangreiche biometrische Daten und Social-Media-Historien von Reisenden zu sammeln.
Insofern, ich glaube, ein Thema, was uns noch eine Zeit lang begleiten wird
und insofern gerade jetzt aktuell nur als Ausblick, aber etwas weiter.
Ja, wir werden berichten, wie es mit dem Thema weitergeht.
So, ich glaube, wir sind mit unseren Themen durch. Wir haben jetzt aber noch
etwas aus der Rubrik Veröffentlichungen und Veranstaltungen.
Ganz genau. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des
Bundes und der Länder, also die DSK, hat wieder getagt in ihrer 110.
Konferenz und in Folge eine Pressemitteilung veröffentlicht.
Und die möchten wir euch als Lesetipp dann doch nochmal ans Herz legen.
Unter anderem werden dort zentrale Reformvorschläge für die DSGVO skizziert
und es gibt auch noch ein paar weitere Beschlüsse und Orientierungshilfen.
Zudem kritisiert die DSK auch die Vorschläge der EU-Kommission zur Digitalgesetzgebung,
da diese wohl ihrer Ansicht nach zu neuen Rechtsunsicherheiten führten und das
Ziel des Bürokratieabbaus wohl auch verfehlen würden.
Darüber hinaus sind noch ein paar Orientierungshilfen veröffentlicht worden,
unter anderem zur Fragestellung des neuen Online-Zugangsgesetzes,
zu einem standardisierten Prüfprozess zu datenschutzrechtlichen Anforderungen.
Auch im Rahmen des Online-Zugangsgesetzes gibt es da auch noch.
Von daher gerne mal reinlesen für Interessierte.
Ich glaube, eine spannende Lektüre für die Feiertage.
Damit kommen wir auch dazu, dass das tatsächlich die letzte Folge dieses Jahres ist.
Genau, nächste Woche ist Weihnachten. Von daher, wir wollen an dieser Stelle
schon schöne Feiertage wünschen. Kommt gut drüber.
Und vielleicht liegt die eine
oder andere Datenschutzlektüre bei dem einen oder anderen unter dem Baum.
Ich kann mich nur anschließen und wünsche euch allen natürlich auch schöne und
besinnliche Weihnachtsfeiertage.
Bis zum nächsten Mal.
Bis zum nächsten Mal.