reCAPTCHA ab sofort Auftragsverarbeitung – DS News KW 14/2026

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Wir starten mit euch gemeinsam heute ins lange Osterwochenende.
Mein Name ist Heiko Gossen.
Und mein Name ist Gregor Wortberg. Hallo Heiko.
Hallo Gregor. Demnach ist heute Donnerstag, der 2. April 2026.
Unser Direktionsschluss war um 10 Uhr.
Ja und haben auch in einer etwas kürzeren Woche natürlich ein paar Themen dabei.
Gregor, was hast du uns heute mitgebracht?
Genau, die kurze Woche macht es nicht weniger interessant. Der Bundesgerichtshof
hat einen Beschluss bezüglich der Löschung personenbezogener Daten aus dem Handelsregister
gefasst, den habe ich mitgebracht.
Und Google ändert die datenschutzrechtlichen Verantwortlichkeiten in Bezug auf
Google Recapture, um das mal so zu spoilern erstmal, oder zu teasern vielmehr.
Und einen Lesetipp habe ich auch dabei.
Wunderbar. Ich habe zwei Urteile rund um das Auskunftsrecht dabei.
Einmal Höchstrichterlicht vom BGH, wo es um die Übertragbarkeit des Auskunftsrechts
geht und einmal im Fall eines gerichtlich bestellten Gutachters.
Dann hätte ich noch eine kurze Sache rund um den Digital-Omnibus.
Da hat nämlich der Bundesrat Stellung bezogen und ich hätte noch ein Update
von unserer letzten Arbeitskreissitzung. Und last but not least auch einen Veröffentlichungshinweis.
Dann starte ich doch direkt rein mit dem Bundesgerichtshof. Der hat nämlich am 18.02.
Diesen Jahres, wurde jetzt veröffentlicht, beschlossen, dass personenbezogene
Daten, welche im Handelsregister eingetragen werden, nach Widerruf durch die
betroffene Person bereinigt bzw.
Anonymisiert werden müssen. Im vorliegenden Fall hatten zwei GmbH-Geschäftsführer
einen Antrag beim Amtsgericht in Hamburg gestellt,
wonach deren private Anschrift und Unterschriften aus zwei im Registerordner
des Handelsregisters hinterlegten Dokumenten zu entfernen,
beziehungsweise diese durch die Geschäftsadresse und einen Platzhalter zu ersetzen.
Das Amtsgericht Hamburg lehnte ab,
was dann auch durch das Hanseatische Oberlandesgericht bestätigt wurde.
Und ja, beide Beschlüsse hob der BGH jetzt nun auf.
Im Kern geht es dabei um sogenannte überobligatorische Daten,
Also sprich Daten, welche nicht im Handelsregister verpflichtend eingetragen werden müssen.
Der BGH begründet das nun insbesondere darin, dass dann auch im Registerrecht
der datenschutzrechtliche Grundsatz gelte, dass die Verarbeitung personenbezogener
Daten eben eine Rechtsgrundlage bedürfe.
Dies gelte auch unabhängig davon, in welcher Art von Dokument das Datum enthalten sei.
Also beispielsweise einem Gesellschaftervertrag oder einer Gesellschafterliste,
die eben im Handelsregister
der eingereicht werden muss, gilt dieser Grundsatz eben halt auch.
Und Mangelsrechtsgrundlage, das kennen wir ja aus der Datenschutzgrundverordnung,
besteht eben halt auch ein Löschanspruch.
Eine rechtliche Verpflichtung, über obligatorischen Daten zu speichern und eben
über das Handelsregister öffentlich zugänglich zu machen, welches eben auch
einer Löschung entgegenstünde, bestehe nicht.
Und auch nicht aus § 9 des Handelsgesetzbuches, welcher besagt,
dass im Registerordner die zum Handelsregister eingereichten Dokumente offen
zu legen seien, ist nicht anwendbar.
Weil die Vorschrift lasse sich eben so verstehen, dass jetzt nicht die Originaldokumente
gemeint seien, sondern auch nachträglich datenschutztechnisch korrigierte Dokumente
dort veröffentlicht werden können.
Und eine dauerhafte, unveränderte Abrufmöglichkeit solcher Dokumente verletze
dann eben auch die Grundrechte der Betroffenen.
Also da muss halt grundsätzlich zwischen den gesetzlich erforderlichen und diesen
zusätzlichen überobligatorischen Informationen dann unterschieden werden.
Hinzuzufügen ist aber dann natürlich da auch an der Stelle, dass selbst wenn
die Daten an der Stelle jetzt unkenntlich gemacht werden, werden sie ja nicht
gelöscht, sondern sind an anderer Stelle im Amtsgericht natürlich noch verfügbar.
Also da geht es jetzt wirklich nur um die Unkenntlichmachung im öffentlichen Zugriff.
Und gerade in diesem Punkt hat der BGH halt auch nochmal das Recht auf informationelle
Selbstbestimmung hervorgehoben, um sich halt auch dann vor Dateneinsicht oder
vielleicht auch missbräulicher Nutzung durch unberechtigte Dritte dann natürlich
auch schützen zu können.
Also ich finde es konsequent. Das andere hätte mich ehrlich gesagt auch ein
bisschen überrascht, wenn man da dann zum Ergebnis kommt, dass es da auch ohne
Rechtsgrundlage dann gespeichert und veröffentlicht werden darf.
Also von daher, oder? Oder sehe ich da jetzt irgendwas?
Es bringt natürlich Aufwand mit sich, da jetzt viele Dokumente potenziell zu
schwärzen und so weiter.
Aber natürlich, mit Blick auf die Betroffenenrechte, ist das halt sich logisch.
Wir bleiben beim Bundesgerichtshof. Der BGH hat entschieden,
dass der Auskunftsanspruch aus Artikel 15 DSGV ein höchst persönliches und nicht
übertragbares Recht ist.
Der BGH hat also eine klare Grenze gezogen und den Auskunftsanspruch aus Artikel
15 als untrennbar zur betroffenen Person gehörend festgestellt.
Man kann also nicht abgetreten, gebündelt oder wirtschaftlich verwertet werden.
Und damit stoppt das Gericht auch entsprechende Geschäftsmodelle,
die das Auskunftsrecht in Artikel 15 strategisch zur Durchsetzung z.B.
Zivilrechtlicher Ansprüche einsetzen wollten.
Der BGH bestätigt aus meiner Sicht hiermit auch die Linie des EuGHs,
zuletzt ja nochmal hier im Fall Brillenrottler, wir hatten es erst kürzlich.
Nämlich das Auskunftsrecht dient ja dazu, Transparenz über die Datenverarbeitung
zu schaffen und der betroffenen Person die Kontrolle über ihre Daten zu ermöglichen,
also nicht als Werkzeug zur Vorbereitung zum Beispiel finanzieller Ansprüche.
Auch wenn das natürlich oft, wir kennen das natürlich aus der Praxis,
in arbeitsrechtlichen Streitigkeiten zum Beispiel nicht selten so genutzt wird.
Die Entscheidung ist aus meiner Sicht daher also begrüßenswert,
weil sie den Zweck der Betroffenenrechte ja natürlich auch nochmal schützt und
dieser Zweckentfremdung ja mal wieder versucht, zumindest einen Riegel vorzuschieben.
Zum Hintergrund vielleicht ganz kurz, ein Dienstleister hatte sich hier Auskunftsansprüche
von Versicherten abtreten lassen,
um damit Rückforderungen gegen Krankenversicherungen vorzubereiten.
Von daher, wie gesagt, nachvollziehbar. Ich glaube, ganz wichtig aber nochmal
bei dem Urteil ist auch, dass sich das natürlich nicht gegen die Vertretung
durch Rechtsanwälte richtet, die ja in der Regel da keinen eigenen Anspruch draus haben.
Also das heißt, eine rechtliche Unterstützung bleibt selbstverständlich möglich.
Entscheidend ist nämlich, dass das Recht selbst bei der betroffenen Person bleibt
und nicht zu einem eigenständigen wirtschaftlichen Vermögenswert wird.
Wie gesagt, ich habe zwei Urteile zum Auskunftsrecht und das zweite betrifft
einen gerichtlich bestellten Gutachter.
Die sind nämlich selbstverantwortlich und müssen auch unfertige Gutachten nach
Artikel 15 bei Auskunften.
Es ging hier um zwei Arzthaftungsprozesse und die Klägerin verlangte vom gerichtlich
bestellten Gutachterauskunft über die von ihm verarbeitete Daten inklusive eines
zu immerhin 90% fertigen Gutachtens.
Die Klägerin machte also ihr Auskunftsrecht geltend.
Der Sachverständige argumentiert allerdings, er sei gar kein Verantwortlicher
im Sinne des GVO, schob hier also das Gericht vor und das meinte dann ja,
die Herausgabe würde die Regeln der ZPO unterlaufen.
Dadurch würde man hier keine Auskunft über dieses Gutachten geben.
Das Oberlandsgericht Stuttgart entschied allerdings nun in der Berufung zugunsten
der Betroffenen zentral sein, nämlich der Sachverständige ist a.
Selbstverantwortlicher, weil er über die Mittel der Datenverarbeitung eigenständig
entscheidet und die DSGVO ist auch im gerichtlichen Kontext anwendbar und prozessuale
Regelungen der ZPO verdrängen den Auskunftsanspruch nicht.
Denn eine Einschränkung nach Artikel 23 DSGVO, wonach ja nationale Einschränkungen
des Auskunftsrechts vorgenommen werden könnten, scheidet aus,
weil es an einer konkreten gesetzlichen Grundlage hier in der ZPO fehlt.
Deswegen finde ich ganz interessant, einerseits, wie gesagt,
nochmal für alle, die gutachterlich vielleicht im Auftrag des Gerichts tätig
sind, einmal die Klarstellung, man ist da in der Regel selbst verantwortlicher im Sinne der DSGVO.
Ich finde aber auch für die Unternehmenspraxis durchaus nochmal wichtig,
dass man hier auch durchaus unfertige Dokumente vielleicht herausgeben muss,
denn das wissen wir ja auch, dass auch nach der EuGH-Rechtsprechung,
da wo es für die Wahrnehmung der betroffenen Rechte und insbesondere auch des
Verständnisses der Verarbeitung der eigenen Daten wichtig ist,
muss auch der Kontext mitgeliefert werden.
Und im Unternehmensumfeld könnte ich mir vorstellen, gibt es da auch vielleicht einige Fälle.
Also ich denke jetzt an so ein unfertiges Arbeitszeugnis zum Beispiel,
was vielleicht ein Mitarbeiter da gerne schon mal sehen möchte. Fertig.
Fertig.
Ab dem 2. April, also heute, gibt es eine wichtige Änderung bei Googles Botschutzdienst Recapture.
Das kennen wir ja alle aus Kontaktformularen auf Webseiten dieser Welt,
wo dann nochmal unten gefragt wird, ich bin ein Roboter, ich bin ein Mensch
oder man muss schöne Bilder auswählen.
Und da gibt es eine Änderung hinsichtlich der datenschutzrechtlichen Verantwortlichkeiten.
Bisher gab Google ja an, selber auch verantwortlicher für die Datenverarbeitung
zu sein und künftig, also ab heute, dann als Auftragsverarbeiter.
Also liegt da die datenschutzrechtliche Verantwortung nach DSGVO künftig allein
bei den Webseitenbetreibern.
Somit untersteht Google, wenn man so möchte, dann ja auch mit Blick auf Recapturedaten
Hinweisungen unter Kontrolle der Webseitenbetreiber.
Das Ganze hatte Google übrigens auf einem Blogbeitrag veröffentlicht.
Also jetzt auch nicht so eine große Pressemitteilung, sondern eher so einem
Blogbeitrag in einem Entwicklerforum, so macht er es zumindest anscheinend.
Okay, so in der Google Community.
So ein bisschen nebenbei.
Ja, so ein bisschen nebenbei.
Übrigens.
Genau. Reaktionen waren auch sehr gemischt, um das vielleicht nochmal anzumerken.
Naja, auf jeden Fall erfolgt die Verarbeitung eben nicht mehr auf Basis der
Privacy Policy, also der Datenschutzerklärung von Google,
sondern auf Basis des sogenannten Google Cloud Data Processing Addendums und
gleichzeitig entfernt Google wohl auch die bisherigen Datenschutzweise aus dem Recapture-Batch.
Da gibt es jetzt natürlich mehrere Baustellen für Unternehmen in Folge.
Einerseits natürlich ist eine Vertragsprüfung relevant, also was steht überhaupt
in diesem Addendum drin.
Es ist gerade vielleicht auch nochmal relevant eben auf die Weisungsgebundenheit
und auf die vorige alleinige Verantwortlichkeit oder Verantwortlichkeit bei
Google, weil da lag ja auch immer so ein bisschen die Vermutung nahe,
dass vielleicht auch nochmal Datenverarbeitung zu eigenen Zwecken dabei sind.
Also mit dem Blick sollte man dann dieses Dokument natürlich auch nochmal reinschauen.
Aber ganz wichtig ist natürlich auch die Umsetzung der betroffenen Informationen
und da die Änderung der Datenschutzhinweise, weil da müssen wir dann natürlich auf jeden Fall ran.
Da hatte ja Google, wie ich es jetzt gerade schon gesagt hatte,
bisher über diesen Button auch selber schon so ein bisschen drauf verwiesen.
Das ist natürlich die eine Seite, die andere sind die eigenen Datenschutzhinweise
der Webseite, aber natürlich auch das Content-Management, wo Informationen natürlich
auch angepasst werden müssen.
Also da ist dann durchaus umfangreicher Handlungsbedarf natürlich auch nochmal zu sehen.
Und sollte dann noch angegangen werden. Technisch ändert sich übrigens nichts.
Da bleibt alles beim Alten, was dann wiederum interessant sein könnte mit den
Nutzungen zu eigenen Daten, zu eigenen Zwecken.
Ja, also wenn die es ja nur so beiläufig veröffentlicht haben,
dann wisst ihr es spätestens jetzt.
Eine Kleinigkeit auch nur.
Kleinigkeit. Wir hoffen jetzt damit natürlich vor Ostern keinen mehr in größere
Bredouille zu bringen, weil es ab heute ja sozusagen gilt.
Ich weiß nicht, aber die müssen ja theoretisch doch dann auch irgendwie ihr
DPA aktualisiert haben oder?
Naja, offiziell lief es halt ja vorher über die Privacy Policy,
was ja eine eigene Verantwortlichkeit war. Und dafür gibt es ja dieses Cloud-Adendum.
Taucht das dann mit auf jetzt wahrscheinlich?
Da soll es jetzt dann wohl mit auftauchen, genau. Das geht es dazu prüfen, ja genau.
Sollte man sich auf jeden Fall, wenn man Google Recapture einsetzt,
sich definitiv nochmal angucken.
Der Bundesrat hat zum EU-Vorschlag des Digitalomnibuses Stellung genommen und
eigene Vorschläge eingebracht, um die bestehende Struktur der DSGVO zu erhalten.
Die Länderkammer hat sich dabei mit den geplanten Anpassungen der EU-Kommission
befasst, beziehungsweise mit den Vorschlägen.
Und Ziel der Anpassung ist es ja, regulatorische Vorgaben für Unternehmen ein
wenig zu vereinfachen oder wie wir gerade eben schon mal, wie ich es angesprochen habe,
auch unter anderem ja beim Thema Auskunftsanspruch zum Beispiel,
den ein wenig einzugrenzen, dass der nur für die datenschutzrechtlichen Zwecke
am Ende auch wirklich genutzt werden kann.
Der Bundesrat hat nun in seiner Stellungnahme betont, dass die DSGVO als einheitlicher
Rechtsrahmen konzipiert wurde und hat deswegen vorgeschlagen,
diese Systematik nicht durch zusätzliche nationale Spielräume zu verändern.
Und konkret hat er angeregt, bestehende Regelungen klar und konsistent weiterzuentwickeln
und dabei den Fokus auf Rechtssicherheit und einheitliche Anwendung der Mitgliedstaaten zu legen. Soweit.
Wie gesagt, alles noch ein bisschen in weiter Ferne und ist jetzt,
glaube ich, auch an sich nicht allzu viel Musik drin, denn das ist eine Meinung unter ganz vielen.
Und wer das Verfahren so ein bisschen mitverfolgt und deswegen haben wir es
heute auch mit reingenommen, weiß, dass da ja, und wir haben es auch bei anderen
Gesetzesvorhaben ja gesehen, noch ein sehr langer Weg vor uns liegen kann.
Und ja, ich kann bei der Gelegenheit auch von einem Gespräch mit Kai Zenner
von unserer letzten Arbeitskreissitzung berichten.
Kai Zenner ist ja direkter Mitarbeiter von Axel Voss und der hat berichtet,
dass die Verhandlungen im Parlament dazu also höchstwahrscheinlich erst im Herbst
abgeschlossen sein dürften.
Das heißt also, ein Trilog wäre wahrscheinlich frühestens Anfang 2027 dazu zu
erwarten und dann wäre man, also wenn es gut läuft, wahrscheinlich Ostern 2027,
also ungefähr in einem Jahr fertig mit diesen Anpassungen.
Wie gesagt, wenn es gut läuft ja und ich weiß nicht, wer sich sozusagen auch die.
Vorschläge da vom Rat angesehen hat da ist doch ganz viel Musik glaube ich drin
und bis man sich da wirklich einig ist ich bin sehr gespannt,
was am Ende vor allen Dingen rauskommt und ob das wirklich viel hilft,
weil ich meine alleine dieser Vorschlag 88 A und B,
wo es ja um das ganze Cookie-Thema geht, was man ja irgendwie versucht hat in
diesem Kommissionsentwurf jetzt auch in die DSGVO reinzubringen,
sind ja alle irgendwie unzufrieden, weil das auch überhaupt gar keine Probleme löst.
Bis hin zu, dass es natürlich die Systematik DSGVO-Rechtsgrundlagen und dann
den Online-Datenschutz und Cookies komplett miteinander vermischt.
Also ich glaube, da ist noch viel drin.
Wir werden dazu sicherlich hier ab und zu auch mal berichten.
Aber wie gesagt, das ist natürlich auch alles noch sehr vage und wir sind am
Ende jetzt ja ein Stück weit auch ausgeliefert, was da wirklich bei rauskommt.
Das klingt nach einem langwierigen, spannenden Prozess auf jeden Fall.
Also dann geht es ja noch auf europäische Ebenen. Das muss man natürlich dann
auch nochmal betrachten, wie es da dann weitergeht. Also von der Zeitachse her
könnte das durchaus… Achso.
Entschuldigung, also die Zeitachse jetzt, das war schon die europäische.
Oh, war die europäische Zeitachse.
Das war die europäische, ja, genau.
Das ist beruhigend. Gut, meinerseits war es schon mit den Nachrichten das.
Ich habe noch eine Veröffentlichung mitgebracht, eine sehr interessante, wie ich finde.
Und zwar hat der Europäische Datenschutzausschuss einen umfassenden Fallbericht
zur Auslegung des Artikels 6 Absatz 1 Buchstabe F.
Der DSGVO mitgebracht, also der Verarbeitung von personenbezogenen Daten auf
Basis des berechtigten Interesses.
Der Bericht kann so als praktischer Leitfaden genutzt werden, als einerseits,
Er enthält dann nochmal so Begriffserklärungen, Bestimmungen,
andererseits aber auch positive als auch negative Umsetzungskompliance-Beispiele.
Von der Kreditvergabe bis zur Online-Bewertung von Taxifahrern ist da ungefähr alles so dabei.
Und also es dient halt darum, die Theorie nochmal durch reale Beispiele und
natürlich auch Gerichtsurteile nochmal greifbar zu machen.
Und da kann man in der Praxis sicherlich auch nochmal das eine oder andere von mitnehmen.
Ich bin gespannt. Ich werde mir das auch mal ansehen, weil, wie gesagt,
berechtigt das Interesse. Das ist ja so ein bisschen mein Steckenpferd.
Deswegen gucke ich da auf jeden Fall mal rein.
Ich hätte noch eine Veröffentlichung vom BSI, das Bundesamt für Sicherheit in
der Informationstechnik, wie es ja ausgesprochen heißt,
hat einen ersten Leitfaden für den neuen IT-Grundschutz++ veröffentlicht und
damit die Modernisierung der Grundschutzanforderungen gestartet.
Der neue Ansatz hat insbesondere auf maschinenlesbare Standards und eine Weiterentwicklung
des sogenannten Stands der Technik im Zuge der NS2-Regulierung abgezielt.
Das heißt also, wer sich mit dem Thema Grundschutz vielleicht in der Vergangenheit
schon beschäftigen musste, weil er danach vielleicht sich ausrichtet,
zertifiziert ist und so weiter, der kann auf jeden Fall schon mal reingucken.
Ich denke, so wie ich das verstehe, wird es da sicherlich auch noch ein paar
Anpassungen geben, weil man das gerade anhand von Pilotprojekten evaluiert.
Und auch das ist wichtig, die bisherigen Grundschutzanforderungen bleiben auch bis Ende 28 gültig.
Das heißt, dieser neue Standard, der wird jetzt noch schrittweise weiterentwickelt.
Aber ich könnte mir vorstellen, vielleicht einen oder anderen Early Adapter
unter unseren Zuhörern zu haben, der sich da vielleicht schon mit auseinandersetzen will.
Den Link packen wir natürlich in die Shownotes.
Ja und damit glaube ich Gregor sind wir schon durch für heute,
Oder hast du noch was?
Nee, ich war gerade beim Early Adapter und beim Early Adapting zum Wochenende. Machen wir heute mal.
Ja, genau. Das starten wir heute auch etwas früher, weil es ist ja Gründonnerstag.
Daher morgen Feiertag. Und in diesem Sinne würde ich sagen, vielen Dank fürs Zuhören.
Und nutzt vielleicht die schönen langen Ostertage mal für einen Review unseres Podcasts.
Vielleicht mit einer positiven Rezension auf der Podcast-Plattform eurer Wahl.
Oder vielleicht mal ein paar Sterne.
Ich finde ja immer, jede Folge hier ist mindestens fünf Sterne wert.
Und am Ende haben wir ja alle was davon, denn ihr, wie gesagt,
habt was Gutes getan und wir steigen vielleicht wieder ein bisschen im Ranking.
Von daher nutzt die Tage gerne und wir freuen uns dann gemeinsam über positive
Bewertungen. In diesem Sinne.
Vielen Dank fürs Zuhören. Vielen Dank dir, Gregor.
Gregor Heiko.
Und bleibt uns gewogen. Auf bald.
Schöne Feiertage.