EuGH-Urteil findet Weg in BDSG Entwurf – Datenschutz News KW 06/2024

Transkript zur Folge:

Fertig.
Das schon mal wieder ich sage was Kluges dazu, aber dem ist nichts hinzuzufügen.
Herzlich willkommen zum Datenschutztalk, Ihrem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 9te Februar zweitausendvierundzwanzig, unser Redaktionsschluss war wieder um zehn Uhr. Mein Name ist Heiko Gossen.
Und mein Name ist Laura Doschinski.
Wir,
Sind von der und blicken mit ihnen gemeinsam wieder zurück in die Woche des Datenschutzes, was so an aktuellen Themen uns aufgefallen ist und was wir für würdig und wichtig erachten für Sie und
euch liebe Zuhörende. Wir haben ein paar Themen wieder mit dabei. Laura, was hat's bei dir denn heute auf die Liste geschafft?
Bei mir hat's auf die Liste geschafft. Zum einen eine Entscheidung des Oberlandesgerichts in Düsseldorf zu Meta und deren Abo-Modellen. Dann geht's für mich weiter zum Verwaltungsgericht nach Bremen. Die haben sich nämlich zur anwaltlichen Schweigepflicht im Rahmen eines Auskunftsersuchens,
geäußert. Dann ein Update zu Zertifizierungsstellen für Auftragsverarbeiter. Da gibt's nun die erste
Und zu guter Letzt wär's bei mir eine Checkliste für die Prüfung der datenschutzrechtlichen Anforderungen bei künstlicher Intelligenz.
Das klingt ja schon sehr spannend. Ich hätte das Thema AGG-Hopping und die damit eventuell äh Fragestellungen, die einhergeht, darf man dafür Daten zwischen Unternehmen austauschen.
Dann blicken wir, werfen wir einen gemeinsamen Blick auf das BDSG-Änderungsgesetz, was von der Bundesregierung jetzt verabschiedet wurde, also der Entwurf dafür.
Und ich hätte eine Entscheidung der bayerischen Datenschutzaufsicht zu Griff und AXIOM.
Last but not least werfen dann noch einen Blick nach Thüringen. Da gibt's nämlich auch einiges zu berichten. Und damit,
Lass uns loslegen. Let's go.
Das machen wir und zwar Meterverst
beim Bestellprozess ihres Abo-Modells gegen deutsches Recht. So entschied nun das Oberlandesgericht in Düsseldorf. Die Entscheidung wurde bekannt am
8. Februar in dieser Woche und die derzeitigen Schaltflächen zum Abschluss eines Abos sehen Sie hier als rechtswidrig an.
Das hat nun eine einstweilige Verfügung zufolge. Dem Gericht fehlt hier konkret der eine schicke Hinweis auf die Kostenpflicht, was
Laut dem Bürgerlichen Gesetzbuch vonnöten ist. Ähm was auch wohl bereits in Vergangenheit durch den europäischen Gerichtshof bestätigt wurde. Eine Formulierung beispielsweise wie Zahlungspflichtig bestellen ist bei dem aktuellen Button nicht,
da oder nicht zu finden, was eben,
ein Problem darstellt, weil auch laut dem Oberlandesgericht ein Kontext äh oder etwas aus dem Kontext zu erschließen, keine ausreichende Grundlage bietet.
Diese Entscheidung ist nun Teil von mehreren Verfahren der Verbraucherzentrale, die sich hier gegen Meta wendet und im nächsten Schritt, ja, ist schon erwartbar, dass die nächste Klage ins Haus steht.
Wenn äh dann soll's darum gehen, was mit den bereits abgeschlossenen Abo-Modellen passiert. Also ob's hier,
Gutschriften bei den entsprechenden Nutzern auch zur Folge hat. Also die Kosten zurückerstattet werden, also langweilig wird's da glaube ich nicht. Ähm das
weil die Verbraucherzentrale ähm hat auch schon bekannt gegeben, dass sie auch noch mehrere Verfahren plant in diese Richtung.
Aber es ist rauszuhören. Es gibt offensichtlich Nutzer, die sich für,
Die kostenpflichtige Variante entschieden haben, um damit das Thema Werbung, also personalisierte Werbung und die damit eine Hygienedatenverarbeitung für sich wohl offensichtlich dann ausgeschlossener, beziehungsweise denen das,
Siebzehn Euro, glaube ich, waren's im Monat wert ist. Ja. Wir gehen einmal nach Hamm
Das Landesarbeitsgericht Hamm hat bestätigt, dass die Übermittlung von personenbezogenen Daten zwischen Unternehmen bei Verdacht auf AGG-Hobing kein Datenschutzverstoß darstellen.
Zum Hintergrund,
Ging auch schon durch andere Medien. Ein Student hat ein äh Klage angestrebt, nachdem er seine Bewerbung als Sekretärin ähm abgelehnt wurde. Es äh ist so, dass er wohl das Ganze halt öfters gemacht hat.
Und das Unternehmen, dass diese Stelle halt äh anderweitig besetzt hat, hat halt einen Rechtsmissbrauch vermutet.
Der Student hatte wohl häufiger sich auf Stellenanzeigen bei eBay Kleinanzeigen ähm beworben, wo explizit nach einer Sekretärin gesucht wurde und hat dann nachher, wenn er abgelehnt wurde,
Die Ungleich- oder Ungerechtbehandlung beziehungsweise Benachteiligung aufgrund seines Geschlecht
geltend gemacht und war damit wohl auch in Teilen bei einigen Unternehmen wohl erfolgreich.
Das Unternehmen, äh mit dem er sich jetzt aber auseinandergesetzt hatte, hatte das wohl vermutet und hat jetzt halt dann auch dazu ähm bei anderen Unternehmen, die hier betroffen waren in der Vergangenheit, ähm Daten erhoben.
Der Kläger hat das für unzulässige geachtet unter datenschutzrechtlichen
punkten und ein Beweis, Verwertungsverbot beantragt
Das Gericht hat aber jetzt entschieden, dass die berechtigten Interessen des Unternehmens diese Daten abzufragen.
Gerechtfertigt sind und die Datenübermittlung auch erforderlich ist.
Weil es halt eine Darlegungslast hier hat bei dem Vorwurf des Rechtsmissbrauchs und deswegen auch auf die Beschaffung dieser Informationen angewiesen ist.
Also das Gericht hält dafür halt auch die Recherche in Urteilsdatenbanken zum Beispiel für legitim und auch die Nachfrage bei den beklagten Unternehmen sieht es keine rechtlichen Bedenken unter datenschutzrechtlichen Gesichtspunkten die das unterbinden oder
letztendlich halt unzulässig machen würden. Von daher muss man schon sagen,
Das kann man jetzt nicht bei jeder Bewerbung tun, die man ablehnt, aber wenn halt der Verdacht besteht, dann kann man hier durchaus,
glaube ich gut für argumentieren, dass man im Bereich dieses Interesse auch hat, wichtig für die Praxis, sage ich immer, dokumentieren
Dass man diese Interessenabwägung auch durchgeführt hat und dass das Ergebnis war, dann hat man natürlich in so einem Fall vor Gericht auch immer recht gute Chancen, dass man da wenig angreifbar ist.
Das Verwaltungsgericht der freien Hansestadt Bremen urteilte am 23. Januar zur Entbindung der anwaltlichen Schweigepflicht im Rahmen einer Auskunftsanordnung.
Konkret ging es hierbei um eine Klage einer Rechtsanwaltskanzlei, die sich gegen eine Auskunftsanordnung der hiesigen Datenschutzaufsichts,
Werte. Sie zogen sich hier auf ihre, ja, anwältliche Schweigepflicht zurück,
Aber was war passiert? Das muss man ein bisschen im Vorfeld verstehen, denn ein Mandant hatte eine Kanzlei um Auskunft gebeten, gemäß Artikel 15 DSGVO. Diese hat er auch bekommen, jedoch nicht durch die Kanzlei selbst, sondern über eine Prozessbevollmächtigte.
Der Mandant gibt an, dass sein Wunsch ausgesprochen wurde gegenüber der Kanzlei damals, dass grundsätzlich keine Datenweitergabe erfolgt.
Ähm da es ebenso auch um Gesundheitsdaten ging. Er hat nun also nun die Befürchtung, dass diese Datenweitergabe an die Prozessbevollmächtigte
rechtswidrig erfolgt ist, ebenso sah er auch die Gefahr, dass die Daten unverschlüsselt an die Prozessbevollmächtigte weitergegeben worden sind und daher wandte er sich
in seiner Rolle an die Aufsichtsbehörde in Bremen.
Die Aussichtsbehörde hat im Anschluss dessen einen Fragenkatalog an die Kanzlei gesandt, um eben Informationen zum Umstand der Datenweitergabe zu erhalten und ebenso auch in die Rechtmäßigkeit nachvollziehen zu können, also hier um die entsprechende Begründung.
Auch nach mehrmaliger Aufforderung der Behörde und dann auch irgendwann infolgedessen Drohung von Zwangsgeld und Gebühren nahm die Kanzlei dies als,
Grundlage für diese gerade angesprochene Klage,
Das Gericht kam nun zu dem Ergebnis, dass die Kanzlei sich hierauf auf die Schweigepflicht nicht zurückziehen kann, denn der Auftraggeber entbindet
Durch sein schlüssiges Verhalten regelmäßig den Beruf Geheimnisträgern von der Schweigepflicht, also in dem Falle wäre eine Auskunft an die Aufsicht auch erforderlich gewesen.
Und auch ist die Aufsichtsbehörde, das wurde auch noch mal gut betont, äh natürlich berechtigt im Rahmen ihrer Aufgaben eine Auskunftsanordnung nach Artikel achtundfünfzig, Absatz eins lädt AD
zu erlassen, wenn es eben konkrete Anhaltspunkte gibt, dass ein Auftraggeber
Hier in dem Falle der Kanzlei die Sorge hat, dass eben die Daten rechtswidrig weitergegeben wurden.
Sie sehen also hier auch die Klägerin, also die Kanzlei als Verantwortliche im Sinne der Datenschutzgrundverordnung. Ich glaube, das ist auch wenig überraschend.
Zu den weiteren datenschutzrechtlichen Maßnahmen konnten in dem Fall jetzt natürlich noch keine Aussagen getroffen werden, also ob irgendwelche Bußgelder et cetera für die Kanzlei folgen. Das wird halt erst ähm nach den weiteren Vorständen Ermittlungen der Aufsichtsbehörde
bekanntgegeben werden.
Klingt alles relativ nachvollziehbar. Dann gehen wir weiter zu unserer Topmeldung für heute Titel,
Meldung, Titel, Thema, also du weißt, was ich meine. So wie unsere Folge heute heißt,
Ja, die Bundesregierung hat den Entwurf des BDSG-Änderungsgesetzes äh verabschiedet und veröffentlicht
BDSG Bundesdatenschutzgesetz ist hoffentlich allen äh eingängig genug und wir hatten dazu ja im August letzten Jahres schon einen ersten Entwurf in der Verbändeanhörung. Da wurde schon einiges natürlich
Diskutiert,
Jetzt hat die Bundesregierung aber noch mal ein paar Änderungen aufgenommen, unter anderem halt zu dem jüngsten Entscheidungen des Europäischen Gerichtshof, unter anderem halt zur Schufa.
Aber ähm in der Reihe nach, wir haben unter anderem das Thema Institutionalisierung der DSK, also der Datenschutzkonferenz der Landesdatenschutzbeauftragten und des Beauftragten
Bundes.
Die werden jetzt dort einmal sozusagen genannt und auch, dass sie sich eine Geschäftsordnung geben sollen. Das war eine große Forderung der Aufsichtsbehörden, dass man dafür eine Regelung schafft
Außerdem wurden Regelungen nochmal aufgenommen, wie der Vertreter und der Vertreter des Vertreters im europäischen Datenschutzausschuss
ermittelt werden. Dann gibt es auch Regelungen zur Bestimmung der zuständigen Aufsichtsbehörden bei gemeinsamen Verantwortlichen aus unterschiedlichen Bundesländern.
Und wir haben dann auch ein paar Änderungen, die sich halt auf das Thema Schufa beziehungsweise Scoring und Auskunftsrecht ähm erstricken. Unter anderem gibt's halt eine,
Ergänzung, wodurch das Auskunftsrecht nochmal eingeschränkt wird falls Geschäftsgeheimnisse gefährdet sind und wichtig ist, wird halt einen neuen Paragrafen oder es ist ein neuer Paragraph vorgesehen, der Paragraph siebenunddreißig A, der das Thema Scoring halt,
ausführlicher regelt als das bisher der Fall war.
Und da und das ist jetzt halt wie gesagt das, was natürlich dann auch äh recht spannend wird, ist einmal, dass die Klarstellung ähm das Scoring zu Bonitätsermittlungen grundsätzlich zulässig sein soll.
Aber das hat keine besonderen äh personenbezogenen Daten dort verarbeitet werden dürfen.
Keine Daten auf Social Media verwendet werden dürfen dafür und dass halt auch die Anschriftendaten nicht herangezogen werden sollen.
Der Entwurf ist veröffentlicht und wir
Packen hier, der natürlich auch den Link in die Shownotes rein. Der Entwurf geht wohl nun an Bundesrat und Bundestag, also das heißt, es wird jetzt sicherlich nochmal,
Die äh Diskussionen auch dann geben, ob das jetzt alles so bleibt oder ob's da noch mal Änderungen geben wird. Das gilt's jetzt natürlich abzuwarten und dann werden wir hier wieder berichten
Spätestens wenn's entweder spannende Änderungen gibt oder wenn das ganze Ding dann verabschiedet ist und wir wissen, ab wann es in Kraft tritt.
Die Landesbeauftragte für Datenschutz,
Und Informationsfreiheit in Nordrhein-Westfalen hat die erste Zertifizierungsstelle für Auftragsverarbeiter genehmigt. Diese Zertifizierungsstelle darf nun Datenverarbeitungsprozesse gemäß des europäischen Datenschutzrechts.
Prüfen und entsprechende Zertifikate ausstellen. Laut Pressemitteilung der LDI vom 2. Februar darf nun das Bonner Unternehmen,
Europress Search GmbH eben,
zukünftig begutachten und halt Unternehmen Auftragsverarbeiter auf Normgerechtigkeit prüfen. Diese stellen wir im Anschluss das Zertifikat European Privacy Seal aus. Das ist jetzt,
Vielleicht dem ein oder anderen die Meldung gar nicht so unbekannt, denn die Genehmigung der Zertifizierungskriterien ist bereits Ende 2022 erfolgt und nun folgte daraufhin eben ein mehrstufiges Akkreditierungsverfahren.
Der LDI NRW gemeinsam mit der deutschen Akkreditierungsstelle,
Und jetzt wie gesagt gab's aber halt eben im Laufe der letzten Woche die offizielle Befugniserteilung.
Finde ich auch wirklich eine ganz schöne Sache. Haben wir ja auch lange drauf gewartet auf die ersten Zertifizierungsstellen, um hier eben ja auch die Nachweise für die entsprechenden Unternehmen ähm erhalten zu können.
Ja,
gilt's natürlich abzuwarten, ob sich das halt dem Markt in irgendeiner Art und Weise auch etabliert oder ob das, ich sage mal,
Es hat sehr lange gedauert, also wenn man überlegt, zweitausendachtzehn waren ja viele schon aufm Weg dahin. Also das war jetzt, als die DSGVO in Kraft getreten ist, ja nicht so, dass dann erst die Zertifizierungsstellen losgelaufen sind. Es hat jetzt,
fast sechs Jahre gedauert.
Die paar Monate.
In die paar Monate, genau. Ähm die Frage ist halt, hat's jetzt noch wirklich Chancen sich richtig durchzusetzen? Ich bin gespannt. Ich würd's mir natürlich wünschen, weil so Zertifizierungen helfen natürlich, wenn sie auch gut sind.
Hm wir werden sehen.
Und vielleicht auch bei Auftragsverarbeitern doch der richtige Ansatz. Wenn diese noch mal Möglichkeiten haben, ihr Datenschutz-Niveau ähm am Markt zu platzieren.
Total, definitiv. Wir werden sehen. Wir werden das mal beobachten.
Wir bleiben bei den Aufsichtsbehörden. Ich gehe allerdings nach Bayern. Das bayerische Landesamt für Datenschutzaufsicht hat die Datenverarbeitung der Griff von zugekauften Daten für unzulässig erklärt.
Hintergrund hier ist Neub, die ähm Datenschutzrechtsorganisation von Max Schrems. Neupartiert's nach eigener Schilderung ein Etappensieg in dem Verfahren äh erwürgt und zwar gegen Griff, die,
von Axium, einem Adresshändler, eigentlich die äh Handel mit Daten für Marketingzwecke.
Die haben halt von denen Daten zugekauft, die sie dann wiederum ihrerseits zum Scoring verwendet haben, also Griff ist halt ähnlich wie die Schufa, eine Auskunft Tai, um Unternehmen Bonitätsinformationen über Verbraucher zu liefern.
Wie gesagt, die haben diese Daten von Axiam zugekauft und äh dagegen ist halt neu vorgegangen, hat sich beschwert beim bayrischen Landesamt für Datenschutzaufsicht.
Die haben jetzt nach zwei Jahren Prüfungen sich dieser äh Einschätzung angeschlossen und gesagt, dass die Verarbeitung von Griff zu diesen Zwecken halt
unzulässig sei, weil sie die Daten zweckentfremdet haben und damit halt gegen europäisches Datenschutzrecht verstoßen. Die,
Für Maxium sitzt allerdings in Hessen und ähm da ist halt natürlich dann die hessische Datenschutzaufsichtsbehörde für zuständig. Hier hat die Organisation versucht, eine ähm Akteneinsicht beziehungsweise halt einen ja einen Einsicht zu
Bekommen in die in das laufende Verfahren hat sie Axium jetzt wohl sehr stark gegengewehrt. Das wurde aber jetzt von der hessischen Behörde entsprechend abgewehrt und da hofft man jetzt bei Neub natürlich, dass dieses Verfahren,
gegen Axium auch weitergeht.
Ich bin da natürlich jetzt ein wenig ähm gespannt, wie die Aufsichtsbehörden damit weiter umgehen, also ob's da Bußgelder geben wird oder ob
diese Verfahren jetzt einfach nur in der Entscheidung, dass es unzulässig war, endet und mündet. Das werden wir natürlich auch mal im Blick behalten.
Wichtig, ganz ehrlich, also,
Wenn man zu den zu einer Entscheidung kommt, wäre es natürlich nur konsequent, wenn man dann auch ein Bußgeld verhängt, aber das werden wir halt abwarten müssen. Vielleicht,
Fragen bei Henn Will mal bei Gelegenheit oder.
Da können wir mal einladen.
Wollen wir mal einladen.
Show,
Aber man muss ja sagen, dass man ja meistens oder relativ häufig von den Busgängern gar nicht so viel mitbekommt, was so im stillen noch so passiert.
Nächstes Jahr mal den Bericht von bei LDA. Würde ich schauen.
Richtig.
Ich bleibe übrigens auch beim bei LDR, das wollen wir in der Vorbereitung gar nicht so bewusst und zwar habe ich von dort nämlich eine Checkliste zur Prüfung von künstlicher Intelligenz.
Mitgebracht, also ähm finde ich ein ganz schönes Papier geworben, um die datenschutzrechtlichen Anforderungen einmal kurz abzuprüfen,
Ähm oder es bietet eine sehr schöne Grundlage, um genau dies zu tun.
In dem Papier findet sich erst mal eine ganz kurze Einordnung, auch wie KI funktioniert, äh sehr schön mit Schaubildern dargestellt und danach betrachtet die Checkliste zwei Vorgänge und zwar einmal das
Trainieren von KI-Modellen und dann auch noch eben die Anwendung von fertigen KI-Modellen.
Wenig überraschend, dass ihr eben regelmäßig der Anwendungsbereich der Datenschutzgrundverordnung auch eröffnet ist und äh das hat eben die Aufsicht hier zum Anlass genommen, nochmal einen entsprechendes
Papier, was doch den Nutzern hilfreich sein sollte, zu veröffentlichen.
Sie gehen halt eben noch mal auch darauf ein, äh welche Anforderungen es hier gibt aus rechtlicher Perspektive, aber auch was für Besonderheiten beim Datenverarbeitungsprozess,
berücksichtigt werden sollten. Und zu guter Letzt gibt's dann auch noch eine kleine Checkliste, um die Bewertung von Risiken sich leichter zu machen.
Nicht wirklich echt nett, nett geworden.
Das ist gut, weil beim Thema KI glaube ich kann man im Moment nicht genug Hilfestellung auch von den Aufsichtsbehörden bekommen. Hervorragend
Wir gehen weiter von äh NRW über Bayern jetzt nach Thüringen, eine kleine Rundreise durch die Republik und in Thüringen hat der Landtag letzte Woche Freitag Tino Melzer zum neuen Landesdatenschutzbeauftragten gewählt.
Nicht wie ich zuerst gelesen habe, Tim Mälzer
Das ist ein anderer, also Tino-Mälzer in diesem Fall. Wir gratulieren natürlich dem Juristen, der dieses Thema in Zukunft dann dort im Land vertreten wird.
Tino Melzer kommt aus dem Sozialministerium. Wie gesagt, da war er schon für Datenschutz zuständig und sein Schwerpunkt liegt halt auf Gesundheitsdatenschutz. Er soll jetzt zum 1. März ernannt werden, so die aktuelle Planung.
Sein Vorgänger, Herr Hasse, der hat jetzt kürzlich dann noch mal und dann äh schließen wir, damit auch den Kreis.
Beim Podium für den Safer Internet Day zwanzig24 nochmal was zum Thema Missverständnisse im Datenschutz erzählt und das auch auf seiner Webseite veröffentlicht. 20 Fakten zum Verständnis des Datenschutzes aus sich der
Thüringer Landesdatenschutzbeauftragten. Da finde ich, wird normal wie gesagt mit einigen Themen aufgeräumt, was
Datenschutz nicht ist und was Datenschutz ist, weil so Themen wie zum Beispiel Datenschutz verhindert alle ist oder steht
entgegen der Digitalisierungsbestrebung und so weiter da ähm schreibt er immer noch mal kurz was zu und ich finde das ist halt nochmal ein bisschen Werbung für das Thema Datenschutz und für die Arbeit von nicht nur Landes-Datenschutzbeauftragen, sondern natürlich auch für die Arbeit von
Betrieblichen Datenschutzbeauftragten und auch Beratern und so weiter. Also wer da ein bisschen Munition braucht, in der Argumentation, warum Datenschutz,
Gar nicht so schlimm ist, sondern wie uns hier bei der, aber ich glaube auch unseren Zuhörern äh grundsätzlich eher Spaß macht, äh wie gesagt, der findet da noch mal ein bisschen bisschen Futter in der Argumentation.
Von daher empfehlenswert. Ja, den Link packen wir natürlich auch in die Show Notes rein und damit wäre ich für heute durch, Laura, dann.
Entlassen wir Sie, liebe Zuhörende ins Wochenende. Wir wünschen Ihnen ein schönes, selbiges. Bleiben Sie uns gewogen und auf bald.