EuGH klärt Anonymisierung – DS News KW 36/2025

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 5. September 2025.
Mein Name ist Natalia Wozniak und bei mir ist meine liebe Kollegin Laura Droschinski.
Hallo zusammen.
Hallo Laura. Laura, Redaktionsschluss war heute bei uns um 19.30 Uhr und wir haben...
9.30 Uhr. 9.30.
Uhr. 9.30 Uhr, du hast recht.
Es fühlt sich schon so lange an der Tag.
Unglaublich. Also nochmal, der Redaktionsschluss war tatsächlich um 9.30 Uhr. Danke, Laura.
Und wir haben ein paar, ich glaube, sehr interessante Themen mitgebracht.
Laura, was hast du dabei?
Ja, ich habe heute sogar zwei Urteile vom Europäischen Gerichtshof dabei.
Einmal das Top-Thema, die Klarstellung zum Thema Anonymisierung und dann noch
ein ganz interessanter Fall zum Thema Schadensersatz.
Außerdem möchte ich informieren über eine Initiative der Landesbeauftragten
für den Datenschutz in Nordrhein-Westfalen.
Und dann habe ich auch noch zwei Meldungen oder besser gesagt zwei hohe Bußgelder
aus Frankreich mitgebracht.
Klingt nicht schlecht. Ich habe tatsächlich auch den EUG, das Europäische Gericht, mitgebracht.
Dieses bestätigt aktuell den transatlantischen Datenschutzrahmen.
Dann habe ich ein Update vom OLG München, der die Auskunftspflicht für E-Mail-Anbieter gekippt hat.
Und Aktualisierungen beim Auftragsverarbeitungsvertrag von Microsoft.
Und daneben habe ich noch einen Veranstaltungs- und einen Lesehinweis.
Ach stimmt, den Lesehinweis habe ich unterschlagen. Sag doch was.
Heute ist aber wirklich der Wurm drin.
Heute ist der Wurm drin, aber wir haben, ich finde, sehr viele schöne Themen.
Ich würde mal starten, oder?
Mach das.
Ja. Der Europäische Gerichtshof hat mit seinem Urteil vom 4.
September den Maßstab für die Anonymisierung personenbezogener Daten präzisiert.
Der EuGH hat klargestellt, ob Daten anonymisiert oder pseudonymisiert gelten,
hängt von der Sichtweise der verantwortlichen Stelle ab.
Ausgangspunkt für uns alle ist ja bei dem Thema eben der 26.
Erwägungsrund der Datenschutzgrundverordnung, wonach die Verordnung auf anonymisierte
Daten eben nicht anwendbar ist.
Doch wann liegt eine echte Anonymisierung rechtlich vor?
Diese Frage beschäftigt ja eben Juristen und Datenschützer seit sehr langer Zeit.
Wenn wir uns zurückerinnern, schon seit 2016, nämlich dort hatte ja der EuGH
im bekannten Breyer-Urteil entschieden, dass eben IP-Adressen personenbezogene Daten sein können,
wenn eben Verantwortliche mithilfe des Internet-Provider eine Reidentifizierung vornehmen können.
Und diese Linie führt der Europäische Gerichtshof nun fort. Der aktuelle Fall
stellt sich nun wie folgt dar.
Das Europäische Single Resolution Board oder auf Deutsch der Einheitliche Abwicklungsausschuss,
nämlich der Ausschuss, der eben sich um die ordnungsgemäße Abwicklung von insolvenzbedrohten
Finanzinstituten kümmert,
teilte im Rahmen eines Abwicklungsverfahren einer spanischen Bank gläubiger
Daten mit einem Drittunternehmen.
Die Daten waren durch alphanumerische Kennzeichen ersetzt.
Nur der Ausschuss selbst konnte die Kennziffern zurückführen,
nicht aber das Drittunternehmen.
Der europäische Datenschutzbeauftragte sah darin lediglich eine Pseudonymisierung.
Auch beim Empfänger, da eben der Personenbezug aus Sicht des Ausschusses weiter bestand.
Vorherige Berufungsinstanzen entschieden, dass pseudonymisierte Daten nicht
automatisch als nicht-personenbezogen gelten. Die Identifizierbarkeit hängt
ihr zufolge von den jeweiligen Umständen ab.
Es muss eben geprüft werden, ob andere Personen als der Datenverantwortliche
subjektiv die betroffenen Personen tatsächlich identifizieren kann.
Der OLGH entschied nun und bestätigte, für den Datenübermittler,
in diesem Fall der Abwicklungsausschuss, lag ein Personenbezug vor,
weshalb die DSGVO Anwendung fand und wiederum auch Informationspflichten bestanden.
Für das empfangende Drittunternehmen hingegen galten die Daten als anonymisiert
und damit außerhalb des Anwendungsbereichs der DSGVO.
Die Verantwortung für den Schutz der personenbezogenen Daten liegt somit dabei
hauptsächlich beim primär Verarbeitenden.
Also Unternehmen und Behörden können sich nicht darauf berufen,
dass Daten nach einer Pseudonymisierung für Dritte nicht mehr identifizierbar
seien, um ihrer Informationspflicht zu entgehen.
Damit schafft jetzt eben das Urteil Rechtssicherheit für Situationen,
in denen eben mehrere Stellen mit denselben Daten arbeiten, aber eben unterschiedliche
Möglichkeiten zur Reidentifizierung haben.
Für Unternehmen bringt das Urteil, finde ich jetzt, zwei ganz wesentliche Klarstellungen.
Denn zum einen ist eben die Perspektive entscheidend.
Verantwortliche müssen immer prüfen, ob sie selbst über die Mittel zur Reidentifizierung
verfügen. Falls ja, bleibt es bei pseudonymisierten, also personenbezogenen Daten.
Wiederum diejenigen Stellen, bei denen vermeintlich anonymisierte Daten vorliegen,
diese müssen laufend überwachen, dass die Anwendbarkeit der DSGVO nicht dadurch
wieder auflebt, dass ihnen die Reidentifizierung durch neue Mittel plötzlich wieder möglich ist.
Also eigentlich anonym, aber das kann
sich ja auch mal durchaus durch neue Informationen auch wieder ändern.
Hierbei dann natürlich die Informationspflicht nicht vergessen,
das bestätigte ja eben der EuGH auch.
Also eben auch wenn Daten beim Empfänger als anonymisiert gelten,
bleibt der übermittelnde Verantwortliche verpflichtet, die Betroffenen über
den Transfer zu informieren.
Das Urteil ist eben besonders relevant für Branchen, die mit großen Datensätzen
arbeiten, etwa auch im Gesundheitswesen, in der Forschung oder auch bei KI-Trainings.
Und Unternehmen sollten ihre Prozesse zu Datenanonymisierung eben kritisch prüfen
und sicherstellen, dass sie dokumentieren, welche Stellen, welche Mittel zur
Identifizierung haben.
Aber ebenso wichtig ist auch eben der Mechanismus, also der,
der regelmäßig überprüft, ob neue technische Möglichkeiten oder Informationen
eine Reidentifizierung möglich machen können.
Ich finde gerade den letzten Hinweis von dir sehr wichtig, weil auch wenn man
jetzt sagt, Status, heute sind es anonyme Daten, weil eben die Möglichkeit zur
Reidentifizierung nicht gegeben ist.
Dieses Status kann sich ja in einem Jahr, in einem halben Jahr ja ändern und
das sollten Unternehmen auf jeden Fall im Blick haben, weil dann greifen natürlich
wieder die datenschutzrechtlichen Vorgaben.
Ja, richtig. Aber sich halt auch eben jetzt darauf zurückziehen können,
nee, ich habe gar keine Mittel, um Daten zu reidentifizieren.
Also kann ich mich dann als verarbeitende Stelle auch wirklich darauf berufen
und sagen, nee, wer greift halt eben auch der 26. Erwägungsgrund.
Eine sehr wichtige Klarstellung. Gut, dann komme ich zu meinem ersten Thema
und zwar hatte das Gericht der Europäischen Union, also das EUG,
den Angemessenheitsbeschluss der EU-Kommission für die USA bestätigt.
Im Vorfeld oder zum Hintergrund bereits zweimal hat das Europäische Gericht
ein Datenschutzabkommen zwischen der EU und den USA gekippt.
Dem neuen transatlantischen Datenschutzrahmen bescheinigt es nun zumindest,
dass personenbezogene Daten angemessen geschützt werden.
Das EUG hat aktuell also entschieden, dass der neue transatlantische Datenschutzrahmen
ausreichend Schutz für persönliche Daten bietet.
Nach EU-Recht dürfen nämlich personenbezogene Daten in Länder außerhalb der
EU übermittelt werden, wenn dort ein vergleichbares Datenschutzniveau besteht.
Bereits 2023 hat die EU-Kommission dies auch für die USA festgestellt.
Die Entscheidung beruhte damals auf zwei Erwägungen,
nämlich dass die staatliche Überwachung bereits 2022 stärker begrenzt wurde
und dass es ein spezielles Datenschutzgericht eingerichtet wurde, das DPRC.
Dieses sollte Beschwerden prüfen können. Nun hat sich ein französischer Nutzer,
der regelmäßig digitale Plattformen, die Daten in die USA übermitteln,
nutzt, dagegen gewährt und geklagt, weil er Zweifel an diesen beiden Maßnahmen hatte.
Das Europäische Gericht wies die Klage jedoch ab. Dies erfolgt mit der Begründung,
dass die Richterinnen und Richter an dem Datenschutzgericht,
also an dem DPRC, unabhängig seien und ihre Ernennung und Arbeit durch klare
Regeln abgesichert ist.
Auch müsse die EU-Kommission den neuen Datenschutzrahmen regelmäßig kontrollieren.
Und Sammelerhebung von Daten durch US-Behörden sei nicht automatisch rechtswidrig,
solange Gerichte die Maßnahmen im Nachhinein überprüfen können.
Diesem Urteil hat das Europäische Gericht damit für mehr Rechtssicherheit beim
Drahtentransfer in die USA gesorgt.
Von daher auch hier eine willkommene Klarstellung, glaube ich.
Und ja, wie gesagt, ein klein bisschen mehr Rechtssicherheit für diejenigen,
die natürlich auch immer noch Bedenken haben oder Sorgen haben,
wie geht es denn weiter mit den Drahtentransfers in die USA und vielleicht auch
die SECs die ganze Zeit in der Schublade noch haben, was nicht verkehrt ist.
Sollte man weiterhin haben, aber ein klein bisschen mehr Sicherheit haben wir jetzt, glaube ich.
Ein ganz kleines bisschen. Aber ich finde immer aus dem Hinterkopf ganz streichen kann man es nicht.
Nein, würde ich auch nicht. Ich würde die immer noch in der Schublade lassen, definitiv.
Ja, ich gehe weg von der europäischen Ebene, nämlich nach Nordrhein-Westfalen.
Und hier geht es um den Datenschutz in Pflegeheimen, denn das LDI NRW fordert
wirksame Unterweisung und Sensibilisierung der Beschäftigten und startet nun
eine Initiativprüfung.
Die Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Nordrhein-Westfalen,
Bettina Geig, hat eine Initiativprüfung in Pflegeeinrichtungen gestartet.
Anlass sind wiederholte Beschwerden über den rechtswidrigen Umgang mit besonders
sensiblen Gesundheitsdaten.
Konkret geht es um Fälle, in denen Pflegekräfte unbefugt Informationen weitergaben,
etwa zu Sterbefällen, finanzieller Situation oder auch Gesundheitsdaten von Betreuten.
Die LDI NRW prüft nun stichprobenartig, ob Einrichtungen über wirksame Konzepte
zur Schulung und Sensibilisierung ihrer Beschäftigten verfügen und ob diese auch umgesetzt werden.
Mit ein Grund für die datenschutzrechtlichen Probleme sei die hohe Personalfluktuation im Pflegebereich.
Nach Einschätzung der LDI führt sie oft dazu, dass eben Beschäftigte unzureichend
im Datenschutz unterwiesen werden.
Schon jetzt empfiehlt die Behörde allen Einrichtungen, ihre Datenschutz- und
Schulungskonzepte zu überprüfen.
Dazu gehören eben regelmäßige Auffrischungen, praxisnahe Unterweisungen und
eben auch eine saubere Dokumentation der Maßnahmen.
Wie bei allen anderen datenschutzrechtlich Verantwortlichen eben auch.
Also Pflegeeinrichtungen sollten eben jetzt die Initiative definitiv zum Anlass
nehmen und ihre Datenschutzorganisation kritisch hinterfragen.
Eben nochmal auch da in die Kerbe schlagen wir gerne, laufende Mitarbeiterschulung,
nicht nur im Gesundheits- und Sozialwesen wichtig, auch überall anders und das
eben auch zu dokumentieren.
Also welche Sensibilisierungsmaßnahmen sind nach welchem Konzept gelaufen und
auch, ich glaube auch das Thema hohe Personalfluktuation ist ja auch im Pflegebereich
nicht einzigartig, sondern auch an ganz vielen anderen Stellen.
Deswegen auch hier empfiehlt es sich immer proaktiv zu handeln,
um Risiken zu identifizieren und ich glaube insbesondere auch im Pflegebereich
steckt das natürlich auch das Vertrauen von Betreuten und deren Angehörigen. Sehr sensibles Thema.
Auf jeden Fall. Also ich glaube, gerade der Pflegebereich Gesundheitsdaten ist
etwas, was viele von uns betreffen kann im privaten Bereich,
aber vielleicht auch tatsächlich, wenn uns Kollegen und Kollegen aus dem Pflegebereich zuhören.
Und ich glaube, da muss man wirklich ein bisschen genauer hingucken.
Richtig.
Gut, dann komme ich zu meinem nächsten Thema. Ich bleibe auch im Inland.
Beim OLG München. Das OLG München hat nämlich aktuell entschieden,
dass ein E-Mail-Hosting-Dienst nicht Anbieter eines digitalen Dienstes im Sinne
des Paragrafen 21 T3DG ist.
Damit ist eine Auskunftspflicht, die sich ebenfalls aus Paragraf 21 Absatz 2
bis 4 ergibt, nicht gegen ihn diesen gerichtet.
Zum Sachverhalt, der hier glaube ich für das Verständnis nötig ist,
nach negativen Bewertungen auf einer Internetplattform verlangte ein Unternehmen
zunächst von der Internetplattform Auskunft und nachdem ihm dort nur E-Mail-Adressen
bekannt gegeben werden konnten von demjenigen, der die Bewertung hinterlassen hatte.
In einem zweiten Schritt vom E-Mail-Anbieter die Daten der Nutzer heraus.
Laut OLG München bietet ein E-Mail-Anbieter nun aber keinen digitalen Dienst
an und muss daher keine Auskunft über die bei ihm vorhandenen Bestandsdaten geben.
Denn nach § 21 Abs. 2 T3 DG ist der Anbieter von digitalen Diensten gegenüber
dem Verletzten zur Auskunft verpflichtet und darf im Einzelfall Auskunft über
die bei ihm vorhandenen Bestandsdaten erteilen,
soweit dies zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung
absolut geschützter Rechte und in anderen konkret benannten Fällen erforderlich ist.
Diese Voraussetzung sei das Gericht allerdings als nicht erfüllt an,
denn die Beteiligte, also der E-Mail-Hosting-Dienst ist, so das OLG München
hier, bereits nicht als Anbieter von digitalen Diensten im Sinne des § 21 T3 DG einzuordnen.
Dies ergebe sich unter anderem aus der Systematik des T3DG, § 21 Abs.
In diesem Gesetz ist auf die Beteiligte als Betreiberin eines interpersonalen
Kommunikationsdienstes nicht anwendbar.
Ferner ergibt sich dies auch aus einem sachlichen Grund, denn die Dienste des
E-Mail-Hosting-Betreibers wurden anders als die Dienste des Plattform-Betreibers
vorliegend nicht zur Begehung der behaupteten Rechtsverletzung genutzt.
Damit können, so das OLG München, Auskunftsansprüche gegen E-Mail-Hosting-Dienstleister
für Verletzungen, die mit der zu beauskunfteten E-Mail-Adresse auf anderen Plattformen
verfolgt werden sollen,
nicht auf § 21 T3 DG gestützt werden.
Ja, was bringt uns das für die Praxis? Tatsächlich, dass Klagen in vergleichbaren
Konstellationen keinen Erfolg haben dürften?
Inwiefern jedoch die Aussagen aus dem Urteil aber tatsächlich auch für andere
Konstellationen einen Grundsatzcharakter haben?
Bedarf tatsächlich der konkreteren Auseinandersetzung mit dem Urteil,
Das ist leider im Rahmen der Vorbereitung für den heutigen Podcast in der Tiefe nicht möglich gewesen.
Von daher an der Stelle auch ein Lesetipp tatsächlich für diejenigen,
für die das gegebenenfalls relevant sein könnte.
Ja, haben wir schon den ersten Lesetipp fürs Wochenende. Aber so weit sind wir
noch nicht, denn ich möchte ja noch gerne über die hohen Bußgelder aus Frankreich berichten.
Die oberste französische Aufsichtsbehörde
KNIL hat im Laufe der Woche zwei große Bußgelder verhängt.
Zum einen für Google wegen unerlaubter Werbeanzeigen und fehlerhafte Cookie-Einwilligung
und für den Online-Modeanbieter SHEIN ebenfalls wegen Cookie-Verstößen.
Kommen wir erst zu Google. Google wurde mit einer Strafzahlung von insgesamt
325 Millionen Euro belegt.
Der Grund? Werbung im Gmail-Postfach und eben eine fehlerhafte Cookie-Einwilligung.
Konkret ging es eben darum, dass Google in den Tabs Werbung und Soziales in
Gmail-Anzeigen direkt zwischen den E-Mails einblendete, ohne verjährige Zustimmung
der Nutzerinnen und Nutzer.
Nach Ansicht der Knill ist das klar unzulässig.
Zusätzlich stellte die Behörde fest, dass bei der Erstellung eines Google-Kontos
die Cookie-Auswahl so gestaltet war, dass personalisierte Werbung bevorzugt wurde.
Nutzer wurden eben nicht transparent darüber informiert, dass Cookies für den
Zugang zu Googles Diensten zwingend vorgesehen waren.
Die Einwilligung war also nicht
frei und informiert und damit in Augen der Aufsichtsbehörde unwirksam.
Neben der hohen Geldbuße verpflichtet die Knill Google dazu,
die Praktiken innerhalb von sechs Monaten zu ändern.
Sollte dies nicht geschehen, drohen tägliche Strafzahlungen in Höhe von 100.000 Euro.
Darüber hinaus, hatte ich ja schon gesagt, gibt es noch ein zweites großes Bußgeld
und das trifft den bekannten Online-Modehändler Shein.
Dieser erhält einen Bußgeldbescheid in Höhe von 150 Millionen Euro.
Der Grund, massive Verstöße bei der Verwendung von Cookies.
Bei einer Inspektion stellte die Knill fest, dass Shein auf seiner Webseite
Cookies setzte, noch bevor die Nutzer ihre Einwilligung gegeben hatten.
Und selbst dann, wenn Nutzer ausdrücklich auf alle Ablehnen klickten,
wurden weiterhin Cookies gesetzt oder bestehende Cookies ausgelesen.
Hinzu kamen unvollständige Cookie-Banner und fehlende Informationen zu Drittparteien,
die Cookies platzieren konnten.
Aus Sicht der Knill sind das gravierende Mängel, gerade angesichts der enormen
Reichweite, denn allein in Frankreich besuchen rund 12 Millionen Menschen monatlich
die Webseite des Online-Händlers.
Das Bußgeld zeigt nur eben deutlich, Einwilligungslösungen müssen technisch
wasserdicht sein, also Nutzer müssen vollständig informiert werden und ablehnen
muss genauso einfach sein und wirksam sein, wie das Zustimmen.
Für französische Unternehmen ist das nun ein weiterer Warnschuss,
denn die Knill betont ja eben seit Jahren, dass sie Cookie-Verstöße konsequent
ahndet und sie macht ihre Entscheidung auch immer bewusst öffentlich, so wie auch jetzt.
Aber auch für alle anderen Unternehmen, finde ich, ist das mal wieder ein deutliches Warnsignal.
Also gerade bei Cookie-Bannern und Einwilligungsprozessen müssen Transparenz
und Freiwilligkeit jederzeit gewährleistet sein.
Und eben schon kleine manipulative Gestaltungen, diese sogenannten Dark Patterns,
können eben nicht nur das Vertrauen der Nutzer untergraben, sondern auch eben zu Sanktionen führen.
Und nichts geht, glaube ich, in heutiger Zeit einfach, als die Webseite von
außen prüfen zu lassen, oder Natalia?
Ja, auf jeden Fall. Und deswegen finde ich es tatsächlich mittlerweile auch
immer weniger verständlich oder ich kann es einfach nicht verstehen,
warum Unternehmen diese Lücke, die ja tatsächlich nach außen hin erkennbar ist
von jedem, der sich ein bisschen damit auskennt, nicht als erstes beheben.
Weil ich sehe auch in der täglichen Praxis, dass einfach sehr viele Cookie-Banner
immer noch fehlerhaft sind.
Und es ist eigentlich einfach, das umzusetzen. Es ist mit Mitteln,
mit den Dienstleisten, die man dabei vielleicht auch einbezieht,
einfach das umzusetzen, um hier bei diesem Punkt safe zu sein.
Und trotzdem, so viele Jahre, nachdem es ja wirklich konkrete Vorgaben dafür
gibt, sind immer noch so viele Cookie-Banner mangelhaft.
Und von daher, ich finde es tatsächlich gut, dass die Knill hier auch in der
Höhe Bußgelder verhängt hat.
Vielleicht wird dieser Warnschuss jetzt endlich mal gehört. So,
dann komme ich zu meinem nächsten Thema, nämlich zu Microsoft.
Microsoft hat zum 1. September 2025, also jetzt druckfrisch,
ein neues Data Protection Addendum veröffentlicht.
Dieses Dokument löst die vorherige Version vom April diesen Jahres ab und bringt
einige wesentliche Änderungen mit sich.
Neu ist zum Beispiel ein Anhang, in dem Microsoft zusichert,
dass staatliche Abschaltanordnungen für öffentliche Stellen künftig im eigenen
Namen rechtlich angefochten werden.
Damit reagiert das Unternehmen auf Kritik im Zusammenhang mit einer abgefangenen
E-Mail des Chefanklägers des Internationalen Strafgerichtshofs.
Außerdem weitet Microsoft die sogenannte
EU-Datengrenze auf den gesamten europäischen Wirtschaftsraum aus.
Daten können also künftig auch in Norwegen, Island und in Lichtenstein verarbeitet werden.
Ein weiterer Punkt ist die Integration des EU-Data-Acts.
Hier geht es vor allem um den Export kundengenerierter Daten und das Cloud-Switching,
also die Möglichkeit, Anbieter leichter zu wechseln.
Klargestellt hat Microsoft auch, dass die Verantwortung für die Einholung von
Einwilligungen bei der Nutzung von Telekommunikationsdaten bei den Kunden liegt.
Für Unternehmen bedeutet dies insgesamt, also die Aktualisierung des Data Protection Allendums,
dass deren Datenschutzbeauftragte das neue DPA prüfen sollten und die Änderung
in ihre eigenen Prozesse integrieren sollten, insbesondere im Hinblick auf die
Einholung von Einwilligungen und auf die Nutzung der erweiterten Datengrenze, falls ausstehend.
Wir haben in dem Kontext tatsächlich schon oder bereits in der KW 31 berichtet.
Damals ging es um den Abschluss des Verfahrens durch den europäischen DSB gegen
die Europäische Kommission.
Dieses wurde aufgrund von zahlreichen Korrekturmaßnahmen, die die Europäische
Kommission gemeinsam mit Microsoft beschlossen bzw.
Vorgenommen hatten, unter anderem in den Vertragsklauseln des DPA positiv zum Abschluss gebracht.
Von daher, ja, für Unternehmen bleibt auch hier nochmal mit Hinweis auf unsere
Meldung aus der KW 31 tatsächlich nochmal zu prüfen, ob das,
was jetzt auch umgesetzt oder geändert wurde von Microsoft,
auch dem entspricht, was damals mit der EU-Kommission vereinbart wurde.
Weil damit hätten wir natürlich einen guten Hinweis darauf, dass das jetzt datenschutzrechtlich
nicht anfechtbar wäre und damit sauber wäre.
Und nachher, Unternehmen sind damit in der Pflicht, jetzt eigene Prozesse anzupassen
und zu prüfen und gegebenenfalls auch das neue Addendum abzuschließen.
So ist es. Ja, ich sagte ja schon bereits, der Europäische Gerichtshof war diese
Woche sehr fleißig, ganz offensichtlich aus der Sommerpause heraus.
Denn der EuGH hat auch entschieden, dass immaterieller Schadensersatz nach der
DSGVO auch für Sorgen, Ärger und Kontrollverlust möglich ist.
Ja, Natalia, in letzter Zeit haben wir ja mehrfach über nationale Urteile berichtet,
bei denen es um Schadensersatz nach Datenpangen ging.
Und ich sage mal so, die Auslegung war sehr, wie sagt man das,
weitreichend. Also hatten wir zum Beispiel das Urteil des Landgerichts Stuttgart
zum Scraping bei X, also vormals Twitter.
Da hat ja damals das Gericht eine Klage abgewiesen, weil es weder einen Nachweis
für die konkrete Betroffenheit des Klägers sah, noch den bloßen Kontrollverlust
über die eigenen Daten als Schaden, als ausreichend ansah.
Oder aber auch das Urteil des Bundesgerichtshofs aus November 2024 im Fall des Facebook-Datenlecks,
wo ja wiederum der bloße Kontrollverlust über persönliche Daten einen immateriellen
Schaden nach der DSGVO darstellte und Schadensersatzansprüche begründet waren.
Und jetzt haben wir endlich eine Entscheidung des Europäischen Gerichtshofs. Ist das nicht schön?
Das ist wunderbar.
Denn dieser hat in der Rechtssache der Quirin Privatbank eine entscheidende
Klarstellung getroffen.
Anlass war ein Recruiting-Fall. Also eine Personalmitarbeiterin der Quirin Bank
schickte versehentlich eine vertrauliche Nachricht über Gehaltsforderungen nicht
an den Bewerber selbst, sondern an dessen früheren Kollegen.
Der Bewerber klagte wegen des Datenschutzverstoßes, weil er,
ziemlich nachvollziehbar, sich ungerecht behandelt fühlte und natürlich sehr
große Sorgen damit einhergingen.
Das Landgericht Darmstadt gab ihm teilweise Recht, sprach ihm einen Unterlassungsanspruch
zu und verurteilte die Bank zur Zahlung von 1.000 Euro Entschädigung.
Das Oberlandesgericht Frankfurt am Main korrigierte diese Entscheidung jedoch.
Daraufhin legte der Bewerberrevision beim Bundesgerichtshof ein,
der dem EuGH mehrere Fragen zur Auslegung der DSGVO vorlegte.
Nun liegen ihm die Antworten aus Luxemburg vor.
Die Luxemburger Richter haben festgestellt, auch immaterielle Schäden wie Sorgen,
Ärger oder das Gefühl des Kontrollverlusts über die eigenen Daten können einen
Anspruch auf Schadensersatz nach Artikel 82 DSGVO begründen.
Es reicht, wenn der Betroffene nachweisen kann, dass diese Gefühle tatsächlich empfunden wurden.
Also ein Materialschaden ist nicht erforderlich.
Damit senkt jetzt der EuGH die Hürden für Betroffenen, eben Schadensersatz einzuklagen.
Weitere Aussagen hat der EuGH auch zum Thema Unterlassungsanspruch getroffen.
Dieser mindet den Schadensersatz nicht. Während der Schadenersatz einen Ausgleich
schaffen soll, dient die Unterlassung allein der Prävention.
Außerdem besteht kein präventiver Unterlassungsanspruch aus der DSGVO heraus.
Eben, ein Unterlassungsanspruch lässt sich nicht direkt aus Artikel 17 oder 18 DSGVO herleiten.
Die Verordnung sieht eben lediglich Löschung oder Einschränkung vor.
Allerdings dürfen, das hat der EuGH auch nochmal bestätigt, Mitgliedstaaten
in ihrem nationalen Recht entsprechende Ansprüche schaffen.
Außerdem sei laut des EuGHs der Verschuldungsgrad irrelevant.
Also für die Hohe des Schadensersatzes spielt das Verschulden keine Rolle.
Nationalgerichte müssen hier auch stets einen vollständigen und einen wirksgaben
Ausgleich gewähren. Ja, ich persönlich frage mich natürlich trotzdem weiterhin,
wie stelle ich denn überhaupt nach oder wie weiß ich denn nach,
dass ich diese Gefühle hatte?
Aber nun gut. Für Arbeitgeber und Verantwortliche bedeutet das aber eben jetzt
vielleicht auch wieder einmal versehentliche Datenpannen auch in kleineren Prozessen,
wie beispielsweise jetzt hier
der Bewerbungsprozess, kann bereits eine Schadensersatzpflicht auslösen.
Auch eben, wenn es nur beispielsweise um Ruheschädigung geht oder unangenehme Gefühle.
Und Unternehmen sollten eben daher strenge Prüfprozesse und klare interne Kommunikationsregeln,
insbesondere auch im Recruiting, etablieren, um eben hier Datenschutzverletzungen,
auch wenn diese nur kleine versehen sind,
halt eben denen nachzugehen und teure Folgen dann auch vermieden werden können.
Ich denke zu deinem Punkt, wie weise ich das nach? Es wird letztendlich wahrscheinlich
darauf hinauslaufen, ist der Richter davon überzeugt, dass ich einen Schaden habe oder nicht?
Also wie glaubhaft kann ich einen Schaden, der bei mir entstanden ist,
der immateriell ist, dem Richter darlegen und ja, habe ich ihn davon überzeugt,
dass ich wirklich diesen Schaden habe?
Wenn ich einfach nur behauptet oder Behauptungen aufstelle, wird das wahrscheinlich nicht reichen.
Also ja, die Praxis wird es zeigen.
Genau.
Gut, dann sind wir, glaube ich, mit unseren Themen erstmal durch und kommen
zu dem Abschnitt Veröffentlichung und Veranstaltung.
Ich fange direkt mit einer interessanten Veranstaltung an, die am 1.
Oktober 2025 in Stuttgart stattfindet, darin betrifft.
Geht es um das Thema Videoüberwachung. Der Landesdatenschutzbeauftragte Prof. Dr.
Tobias Keber diskutiert in seiner vierteljährlichen Veranstaltungsreihe Keber
Quarterly eben am Mittwoch, den 1.
Oktober um 17 Uhr zum Thema Videoüberwachung.
Er zeigt darin, oder zumindest ist geplant, dass er anhand von Beispielen,
wo die Videoüberwachung möglich ist und wo sie nicht möglich ist, aufzeigen möchte.
Er diskutiert, wann Bußgelder drohen, wann Kameras ausnahmsweise eingesetzt
werden dürfen und erklärt, wann ein Unternehmen oder eine Behörde damit rechnen
muss, dass der Landesbeauftragte einschreitet.
Und warum auch an öffentlichen Plätzen, wie dem Schlossplatz zum Beispiel,
unter bestimmten Umständen die Videoüberwachung erlaubt sein kann.
Es soll auch die Möglichkeit geben, im Anschluss Fragen zu stellen.
Von daher, wer es einrichten kann, der Eintritt ist frei.
Es ist allerdings eine Anmeldung erforderlich. Wir verlinken in den Shownotes.
So ist es. In den Shownotes verlinken wir auch ein GDD-Kurzpapier,
ein neues, denn das befasst sich mit den Praxistipps für die Beendigung der
Auftragsverarbeitung.
Also ich glaube, die meisten beschäftigen sich damit, eine Vereinbarung zur
Auftragsverarbeitung abzuschließen, sei es als Verantwortlicher oder auch als Dienstleister.
Aber hier geht es eben konkret um das gemeinsame Ende.
Finde ich mal ganz schön, dass man sich damit auch befasst hat.
Also wie kann eine datenschutzkonforme Abwicklung bei der Beendigung eines Auftrags-Verarbeitungsverhältnisses
für den Verantwortlichen aussehen? Also welche Pflichten ergeben sich?
Das Thema Löschen ist dabei ja auch ein sehr wichtiges und Nachweis von Löschen.
Also auch das findet ihr in den Shownotes.
Etwas zu lesen ergibt sich oder ergibt es jetzt von der Bundesnetzagentur,
nämlich ein Hinweispapier zur privaten Nutzung von E-Mail und Internet am Arbeitsplatz.
Das Thema ist tatsächlich etwas, was schon seit Jahren heiß diskutiert wird
und die Bundesnetzagentur lehnt in ihrem Hinweispapier nun die Anwendung des
Fernmeldegeheimnisses ab.
Das heißt sicherlich ein Blick wert für jeden Arbeitgeber, der seinen Mitarbeitern
auch die private Nutzung des dienstlichen E-Mail-Accounts und des Internets
am Arbeitsplatz ermöglicht.
Denn die Tendenz in der rechtlichen Diskussion um die Anwendung des Fernmeldegeheimnisses
auf Arbeitgeber entwickelt sich aktuell tatsächlich immer mehr in die Richtung,
dass § 3 Absatz 2 T3DG nicht einschlägig sein soll.
Die Folge ist, dass eben nur datenschutzrechtliche Vorgaben der DSGVO und zum
Beispiel des BDSG zu beachten sind, jedoch keine Verbote nach § 3 Absatz 1 C3 DG oder nach § 206 StGB.
Von daher, ja, ein Lesehinweis.
Haben wir es geschafft.
Wir haben es geschafft. Ich glaube, wir sind mit unseren Themen durch.
So ist es.
Wir hoffen, es hat euch gefallen. Wir wünschen euch ein schönes Wochenende,
wenn ihr das heute noch auf dem Nachhauseweg oder heute Abend auf dem Sofa hört
und vielleicht auch lest.
Oder einen guten Start in die neue Woche, wenn es nächste Woche soweit ist.
Und wir sagen Tschüss und bis zum nächsten Mal.
Bis zum nächsten Mal.