Schlussantrag zu Schrems III liegt vor – Datenschutz News KW 17/2024

Moderation:

Was ist in der KW 17 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• migosens Karriere
• BGH zur Auslegung „Kopie von personenzogenen Daten“ (VI ZR 330/21)
• Schlussantrag vom 25.04.2024 – EUGH Aktenzeichen C-446/21 des Generalanwalts zu Meta vs Max Schrems
• DSK veröffentlicht Stellungnahme zum Gesetzentwurf zur Änderung des BDSG
• Sammelklage: Personenbezogene Daten an Werbefirmen abgegeben
• Neue Datenschutzbeauftragte für Sachsen-Anhalt

Empfehlungen & Lesetipps

• Suchmaschine für Tätigkeitsberichte der Datenschutzbehörde
• CNIL veröffentlich Jahresbericht 2023
• EDSB hat hat seinen Jahresbericht 2023 veröffentlicht

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/schlussantrag-zu-schrems-iii-liegt-vor-datenschutz-news-kw-17-2024

Transkript zur Folge: Are you ready to rumble? Jawohl können. Wir laufen. Die Aufnahme läuft. Ready? Ah, Moment, Moment. Ah, ich war nochmal in. Und mein Tipp. Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab, Wir begrüßen euch wieder recht herzlich zu einem Rückblick auf die Datenschutzwoche. Unser Redaktionsschluss war heute wie gewohnt um zehn Uhr. Mein Name ist Heiko Gossen. Und mein Name ist Lothar Somanowski. Wir gucken wie jede Woche hier in der natürlich immer was so passiert und nehmen das dann mit in dieses wöchentliche Datenschutzamt extra für uns und euch, um da nochmal zu reflektieren und auch nochmal drauf zu schauen, was so passiert ist. Bevor wir das aber gleich tun, möchte ich nochmal auf unsere offene Stellenausschreibung hinweisen. Da sind ja immer ein paar Rückfragen eingegangen, äh was natürlich sehr schön ist und auch das Interesse zeigt. Der ähm ja ich wollte an der Stelle einfach nochmal kurz auch ähm wenn man ein bisschen was zu sagen, weil er offensichtlich wie gesagt aus der Stellenbeschreibung vielleicht noch nicht alles so ganz äh ausreichend hervorgegangen ist, was für den einen oder anderen interessant ist. Also es geht halt in der Stelle wirklich auch um die Bearbeitung von Kundenanfragen in unserer Rolle als externer DSB da sind natürlich unsere Kunden, die regelmäßig und aus sehr unterschiedlichen Branchen und auch unterschiedlichen Größenordnungen äh stammen. Dann äh die dann zu uns kommen, sich an uns wenden mit Fragen, sei es äh eine Prüfung von AV, sei es Begleitung bei einem Datenschutzvorfall, sei es die Begleitung von Auskunftsanfragen, also die ganze Bandbreite ist quasi dabei und das ist halt quasi das, was wir in diesem äh Team von Laura regelmäßig tun und, Wo wir halt weitere Unterstützung brauchen, weil es einfach viel geworden ist und mehr wird. Deswegen freuen wir uns halt über jeden, der Interesse hat und uns seine Bewerbung einreicht. Wir packen den Link auch nochmal in die Shownotes. Wer also, Lust hat, mitzuwirken hier und zufriedene Kunden zu schaffen, die ja, uns zusammen Datenschutz meistern, ohne aber dass Datenschutz äh der Verhinderer ist, sondern wir, unseren Selbstverständnis halt, unseren Kunden natürlich dabei helfen wollen, ihr Geschäft zu betreiben und äh deswegen unsere Kunden uns eigentlich auch recht gerne hinzuziehen. So viel vorneweg schon mal und damit Lothar, was hast du an Themen heute dabei? Ja, was haben wir dabei? Wir haben zum einen das BGH-Urteil zum Thema der Datenkopie. Sehr spannendes Thema. Darüber hinaus äh schauen wir uns die ja Stellungnahme der Daten zum Gesetzesentwurf des neuen Bundesdatenschutzgesetzes an und ja eine sehr sehr schöne Nachricht. Wir können vermelden, dass Sachsen-Anhalt eine neue hat. Wunderbar. Das sind ja schon mal schöne Themen. Ich hätte auch ein Urteil, nämlich den Schlussantrag des EuGH zu Shrimps gegen Meta. Dann schauen wir auf eine Sammelpotentielle Sammelklage von Grin äh gegen Grinder, so muss man sagen und natürlich haben wir noch unsere Lese da haben wir heute auch ein paar dabei. Von daher wieder glaube ich ein paar schöne Themen. Lothar Licht Schloss. Wir starten. Der Bundesgerichtshof hat am 5. März ein sehr spannendes Urteil gesprochen und zwar geht es um das Thema der Kopien von personenbezogenen Daten im Kontext von Anfragen, gemäß Artikel fünfzehn, DSGVO und zwar, der Bundesgerichtshof äh entschieden. Er ist zu der Entscheidung gekommen, dass nicht zwangsläufig alle Datenträger, die Informationen über Betroffene enthalten, unbedingt relevant sind für die Kopien als äh, personenbezogenes Datum im Sinne der DSGVO zu gelten, ne? Zum Hintergrund, Es geht hier um einen Rechtsstreit, wonach eine Klägerin einen Antrag gestellt hat, gemäß Artikel fünfzehn, DSGVO. Im Kontext äh der Zusammenarbeit mit einem Finanzdienstleister, auch der Dokumente zu erhalten, ne. Es ging dabei um Mitschriften, es ging um Gesprächsprotokolle, Mails und so weiter. Der Bundesgerichtshof hat jetzt entschieden, dass ein Anspruch, der sich auf solche Dokumente bezieht, die vollständig. Personenbezogenen Daten bestehen müssen und auch diese Daten, die persönlichen Informationen direkt widerspiegeln. Müssen. Das heißt also, dass es nur die Daten und die Datenträger relevant sind, die tatsächlich von der betroffenen Person eigenständig verfasst wurden. Ne und die Dokumente, die die verantwortliche Stelle erstellt, wie zum Beispiel Telefonnotizen, Gesprächsnotizen, da besteht kein Anspruch auf, Hierbei ist eindeutig der grundsätzliche Thema zu erkennen. Das hat der Bundesgerichtshof auch klar erkennbar und unmissverständlich auch begründet und argumentiert. Zu vermeiden ist, das Ausgangsbegehren, die nach Artikel 15 gestellt werden, nicht dazu führen dürfen, dass unverhältnismäßig umfangreiche Dokumentensammlung erstellt werden müssen, die nur teilweise relevante, personenbezogene Daten enthalten Ein sehr spannendes Urteil, was in der Praxis auch für Klarheit sorgt und auch die ein oder andere Druckerpatrone schont und auch das Papier schont. Das Aktenzeichen dazu, wie immer verlinken wir in den Shownotes. Also klingt für mich jetzt erstmal nach einem sehr begrüßenswerten Urteil, was noch mal diese Frage der, ja, Kopie, also sozusagen einer echten Ablichtung von solchen Dokumenten angeht, dass das halt nicht immer notwendig ist. Finde ich. Ja, kommen wir zu einem noch nicht gefällten, aber zu erwartenden Urteil der EUGH-Generalanwalt Santos sieht die Nutzung von veröffentlichten Daten anderen Zwecken als eingeschränkt nutzbar, allerdings die sexuelle Orientierung zu Werbezwecken hingegen nicht. Im aktuellen Fall schrämmt’s gegen Meta. Wär’s wahrscheinlich Shrimps drei, ich weiß aber gar nicht, ob das offiziell auch so heißt, befasst sich Generalanwalt Rantos jetzt mit den Grenzen der Datenverarbeitung für personalisierte Werbung in sozialen Netzen. Max Schrems, ähm ja ich glaube ein hier wohl hinreichend bekannter Datenschutzaktivist hatte gegen Metaplattforms Island geklagt, nachdem er zielgerichtete Werbung erhielt, die auf homosexuelle Nutzer abgestimmt war, obwohl er seine sexuelle Orientierung nicht explizit auf Facebook geteilt hatte In der darauffolgenden Zeit eventuell öffentlich bei einer Podiumsdiskussion allerdings eine sexuelle Orientierung, veröffentlichte aber darüber nichts auf seinem Facebook-Profil. Das Ganze ging jetzt zum obersten Gerichtshof in Österreich, der hat die Vorlagefragen an den Europäischen Gerichtshof gestellt und zwar einmal inwieweit die Nutzung von vorhandenen Daten, die Facebook in dem Fall, ohne eine zeitliche Beschränkung genutzt werden dürfen, also Knackpunkt ist hier, dass Facebook über Max Schremsdaten aus 204 hat und die wohl auch nach wie vor weiterhin nutzt und. Die andere Vorlage, inwieweit Äußerungen, zum Beispiel im Rahmen einer Podiumsdiskussion über die sexuelle Orientierung. Dann auch von Facebook genutzt werden dürfen, um hier Werbung draus zu generieren oder zielgerichtet zu erzeugen. Der Generalanwalt schlägt jetzt vor, dass personenbezogene Daten nicht zeitlich unbeschränkt für Werbezirkel verarbeitet werden dürfen, legt hier aber jetzt sich nicht fest, sondern sagt, die nationalen Gerichte müssten das, entsprechend auf dem Grundsatz der Verhältnismäßigkeit entscheiden. Also wie lange? In welchem Umfang solche Daten gespeichert und halt genutzt werden können. Des weiteren argumentiert Ranthaus, dass die öffentliche Erwähnung der eigenen sexuellen Orientierung durch Schrimms, bei einer Podiumsdiskussion zwar dadurch öffentlich gemacht ist, damit auch grundsätzlich weiterverarbeitet werden darf, dies jedoch nicht automatisch die Nutzung dieser Daten für personalisierte Werbung legitimiert. Da es sich halt um besonders schützenswerte Daten nach Artikel neun. DSGVO handelt Jetzt gilt’s natürlich abzuwarten, was der Europäische Gerichtshof daraus macht. Das ist halt der, in Anführungszeichen, nur Schlussantrags des Generalanwalts, aber wir wissen ja auch aus der Vergangenheit, dass es sehr häufig sogar in mehr als der Hälfte der Fälle letztendlich dann auch zu führt, dass das Gericht sich dem anschließt. Wer jetzt ich sage mal von meiner Datenschutzperspektive, von meiner persönlichen her auch relativ gut nachvollziehbar, dass man halt sagt, das was halt veröffentlicht wird, hat natürlich einen Zweck und dass man das jetzt nicht beliebig zu anderen Zwecken einfach weiterverarbeiten darf und man als Betroffener sozusagen durch die Öffentlichmachung, damit eine kompletten Kontrollverlust hat. Kann ich ein Stück weit nachvollziehen, insbesondere wenn’s halt um besondere Kategorien von personenbezogenen Daten geht. Das ist aber auf der anderen Seite, wie gesagt, trotzdem in gewissen Rahmen auch wieder möglich ist. Finde ich, klingt irgendwie ausgewogen. Das stimmt, ja, zumal das Thema der Werbung ganz explizit ja nochmals geregelt ist, ne. Jetzt bezüglich den den Einwilligungen. Ich find’s nachvollziehbar und ich bin ebenfalls gespannt, wie der EuGH entscheiden wird. Das kann auch große Kreise ziehen, ne, große Auswirkungen haben. Ja, ich glaube gerade auch etwas, was für die betriebliche Praxis in anderen Unternehmen relevant sein kann, weil er auch das nicht selten genutzt wird, das Internet äh zur Recherche für die eigene Vermarktung oder für die Vermarktung von eigenen Produkten, um entsprechende Klientel zu identifizieren. Von daher glaube ich, wird das sicherlich in der Praxis auch eine größere Relevanz haben als jetzt nur soziale Netzwerke zu betreffen. Wir kommen zur Datenschutzkonferenz. Äh diese hat nämlich, eine Stellungnahme zum neuen Gesetzesentwurf des neuen BDSG veröffentlicht. Zum Hintergrund, im Februar hat die Bundesregierung äh ein ein Gesetzesentwurf zur Verfügung gestellt, dass sich jetzt die Konferenz, die DSK angesehen hat und ja, einige Punkte dazu notiert hat. Zu den wichtigsten Punkten gehören, das Thema der Institutionalisierung, der Datenschutzkonferenz. Hier wünscht sich die DSK, dass diese Regelung weiter ausgebaut werden, die Ziele der DSK sollten aufgenommen werden und auch eine Notwendigkeit der ständigen Geschäftsstelle. Der DSK wird betont, des Weiteren gehen Sie auf das Thema des Schutzes von Betriebs und Geschäftsgeheimnissen ein und zwar ebenfalls wieder bei Auskunftsansprüchen. Hier beschreibt die DSK ihre Meinung als sehr skeptischen, ob die geplanten Regelungen des Gesetzesentwurfes Mit der DSGVO vereinbar sind, da die europarechtlichen Einschränkungen der Betroffenen eng auszulegen sind. Auch das Thema Scoring wird äh diskutiert. Hier sollte geprüft werden, entsprechend der DSK, ob die Neuregelung im neu mit den Anforderungen der DSGVO zu Einschränkungen der betroffenen Rechte in Einklang stehen. Dabei wird auch empfohlen zur Erreichung einer Rechtssicherheit, auch einer Erörterung im Rahmen einer Sachverständigenanhörung durchzuführen. Des Weiteren ähm diskutiert wird äh ja die länderübergreifende Daten äh Verarbeitungsvorhaben und zwar im Kontext von äh gemeinsamen Verantwortlichkeiten. Nach den neuen Bundesdatenschutzgesetz soll es, in diesem Kontext beteiligten Unternehmen möglich sein, eine einzige Aufsichtsbehörde festzulegen. Aber die DSK schlägt vor, vorab schon mal zu prüfen, ob hier tatsächlich eine gemeinsame Verantwortung vorliegt und wie die Abgrenzung erfolgen kann, ne? Der separaten Verarbeitung. Last not least, Geht es um die Möglichkeit von Geldbußen gegenüber Behörden? Hier sagt die DSK, dass die Streichung des. Paragraphen dreiundvierzig im neuen BDSG durchgeführt werden sollte, wonach gegen Behörden und öffentliche, sonstige öffentliche Stellen keine Geldbußen verhängt werden sollen und verhängt werden können, aber die Praxis hat gezeigt, äh nach der Argumentation dass es Bedarf geht, ne, für Geldbußen im öffentlichen Bereich. Einfach, weil die Schwere bei Verstößen äh nochmal unterstrichen werden kann und motiviert wird zur Prävention von Datenschutzverletzungen, ne. Also sehr spannender Punkt. Wurde auch schon in der Vergangenheit häufig und heiß diskutiert, das Thema Geldbußen eben öffentlichen Bereich. Also ich kann’s empfehlen. Sehr spannender Kommentar, wird angeboten auf der Homepage der, Datenschutzkonferenz auch hier den Link veröffentlichen wir in den Shownotes. Vielen Dank. Ich glaube, das war sogar gestern schon in der ersten Lesung im, Tag, wenn ich äh richtig informiert bin. Ich habe aber jetzt zugegebenermaßen auch nicht äh nachverfolgt, ob das jetzt schon irgendwie äh was hervorgebracht hat an an Input und inwieweit jetzt diese Stellungnahme hier wirklich auch noch Berücksichtigung findet. Aber gut, wir werden sehen. Die Dating-App Gründer soll sensible Nutzerdaten zu kommerziellen Zwecken an Dritte weitergereicht haben und steht nun vor einer Sammelklage in England. Gründer ist eine weitverbreitete Dating-App und steht die heiße Online berichtet jetzt zu einer Sammelklage in Großbritannien. Kölner wird beschuldigt ohne Zustimmung der Betroffenen. Die Daten tausender britischer Männer kommerziellen Zwecken weitergegeben zu haben und auch das entspricht nicht dem britischen Datenschutzrecht, also verstößt hier auch dagegen. Das ist ja Im Moment zumindest noch in äh sehr weiten Teilen dem Standard der DSGVO entsprechend. Die Anwaltskanzlei Austen Hays, die die Klage führt, hat bereits über sechshundertsieb Betroffene Männer als Kläger registriert. Im Erfolgsfall könnte jedem der Kläger eine Entschädigung in Höhe von mehreren tausend Pfund wohl zustehen. Die norwegische Datenschutzaufsichtsbehörde, die hatte Greendow bereits zuvor mit einer Strafe von 6,5 Millionen Euro belegt, weil die Einwilligung zur Weitergabe sensibler Daten, unter anderem den HIV-Status ungültig war. Gründer bestreitet hingegen die Vorwürfe und behaupte, solche Informationen nie kommerziell genutzt zu haben. Allerdings, zwei0achtzehn, nachdem ein äh skandinavisches Institut wohl schon aufgedeckt hatte, dass Gründer diese Daten weitergibt, unter anderem an App Demize und Localitics, Localitics, glaube ich, spricht man das aus. Ähm. Darunter auch E-Mail-Adressen, GPS-Koordinaten, HIV-Status und Angaben zum letzten Datum eines HIV-Tests, hatte das Gründer auch nicht bestritten, sondern eher bestätigt. Aber stellt halt den Verkauf der Daten in Abrede. Sprich also man hat grundsätzlich zugegeben, dass man die Daten weitergegeben hat, aber dass man dafür kein Geld bekommen hat Ob das jetzt die entscheidende Frage ist, ob man damit so eine Schadensersatzklage wirklich äh abschmettern kann, bezweifele ich ein wenig. Vor allem, wenn’s schon Bußgeld gab. Aber gut, das, wie gesagt, passiert im Moment alles natürlich in in UK, in Großbritannien, inwieweit das jetzt auch in anderen Ländern natürlich dann nochmal zu solchen Klagen kommen kann, ist mir jetzt im Moment nicht bekannt. Der nächsten Meldung springen wir aus England nach Sachsen-Anhalt. Gute Neuigkeiten aus Sachsen-Anhalt. Alle müssen sich den Namen Maria Christina Ross zukünftig merken, denn das ist die neue Landesdatenschutzbeauftragte des Landes Sachsen-Anhalt. Nach Information des MDR ist Frau Rost jetzt worden zur Landesdatenschutzbeauftragten mit einer deutlichen Mehrheit. Sehr erfrischend, weil seit 2tausend0achtzehn, also jetzt seit geraumer Zeit, versucht wird, einen Landesdatenschutzbeauftragten, oder Landesdatenschutzbeauftragte zu bestellen. Es ging äh bislang nie erfolgreich aus. Es äh fehlten immer, Mehrheitsbeschlüsse, aber nun ist es soweit, Maria Christina Ross als Juristin ist neue Landesdatenschutzbeauftragte Aktuell ist die Juristin im hessischen Landesamt für Datenschutz tätig und zwar für Recht und Öffentlichkeitsarbeit Und es steht alles schon unter einem guten Stern. Die Wahl ist mit überwiegender Mehrheit erfolgt Sie gilt als ausgewiesener Digitalexpertin. Laut laut der CDU-Fraktion und ist ebenfalls gut vernetzt, kennt sich im Datenschutz sehr gut aus. Im Vorfeld haben sich schon die SPD und alle anderen Oppositionsparteien sehr anerkennt geäußert und es sieht so aus, als ob wir da tatsächlich einen positiven Abschluss haben nach der Suche seit 2tausendachtzehn. Ach, das ist doch ich würde mir direkt warm ums Herz. Wenn das nach so langer Zeit endlich eine Lösung ist, man traurig, aber schön, dass es am Ende doch noch irgendwie jemand geworden ist. Am Ende wird alles. Wir nicht unseren Enkeln noch erzählen müssen, dass seit 2tausendachtzehn in Sachsen-Anhalt. Ja. Weißt du noch damals. Damals, genau. Aber tatsächlich ist mir beim Lesen deiner deiner Headline zum ersten Mal bewusst geworden, wie schmal der Grad zwischen Juristin und Justin eigentlich ist und wenn man nicht aufmerksam ist, das auch mal schnell misslesen kann. So entstehen auch Fehlmeldung, ne? Dann wird auf einmal der Justin Landesdatenschutzbeauftrag. Kinder, Na ja, also es ist ja eine Juristin und kein Justin. Ich glaube, das ist noch mal wichtig zu betonen. Und damit kommen wir zu unseren äh Lesehinweisen und Veröffentlichungen. Zum einen und das ist eher sozusagen ein übergeordneter äh Teil, wo man viel lesen kann. Und zwar gibt’s jetzt eine Suchmaschine für Tätigkeitsberichte der Datenschutzbehörden. Unter Tätigkeit, com präsentiert sich eine neue Suchmaschine, mit der man nach sämtlichen Tätigkeitsberichten ab 2016 suchen kann. Darin befindet sich auch der Bericht des EDPB, des Europäischen Datenschutz Ausschusses, also mische ich hier Deutsch und Englisch schon wieder Abkürzung und ausgesprochen, also des Etza EDSA, europäischer Datenschutzausschuss, Englisch European European Data Protection Board EDP. Ja, also der Bericht ist auch da und auch der von europäischen Datenschutzbeauftragten. Meine Güte, heute habe ich’s aber mit dem Aussprechen nicht so. Also von daher kann ich empfehlen, eine gute Stichwortsuche, die dann innerhalb der Berichte auch immer die passenden Fundstellen direkt und man dadurch navigieren kann, ob’s dann passt oder nicht, kann man sehr schnell erfassen. Ich find’s eine ziemlich coole Sache und erleichtert glaube ich auch doch dem Datenschützer an sich die Recherche immer mal wieder zu vielleicht dem einen oder anderen Sachverhalt, weil manchmal gibt die Literatur ja auch nicht zu allem eine Antwort und dann ist es ganz gut, noch mal so ein bisschen die Tätigkeitsberichte zu schauen, finde ich persönlich zumindest immer sehr hilfreich. Sehr guter Tipp, ich hab’s auch schon tatsächlich ausprobiert, es macht Spaß, also es funktioniert sehr gut und ähm ja man ist mit wenigen Handgriffen auch sehr erfolgreich, Kommen wir zu unserer nächsten Veröffentlichung Paris. Ähm ich wollte das immer mal machen, ne, Paris oder Bonn zu Beginn stellen. Äh die Kniddel, die französische ähm Aufsichtsbehörde hat ihren Bericht für 20023 veröffen sehr lesenswert, vermute ich, werde ich mir auch am Wochenende mal zu Gemüte führen, nur kurz vorab ein paar Zahlen, der Knildel die Beschwerden gingen um 35 Prozent im Jahr 2022 nach oben, doppelt so viele Sanktionen wurden verhängt und 36 Geldstrafen in Höhe von 89 Millionen Euro. Also das macht Lust auf mehr. Ähm ich schaue mir den Bericht übers Wochenende mal an. Wunderbar. Ja, ich hätte dann auch noch einen Bericht, der sich auch bei Tätigkeitsberichte Punkt com in der Suchmaschine schon befindet. Das ist nämlich der vom europäischen Datenschutzbeauftragten, der sein Jahresbericht 2023 veröffentlicht hat. Der Bericht einen Überblick über die Arbeit des äh EDSB und zeigt halt die wichtigsten Meilensteine auf ich habe jetzt ehrlich gesagt auch noch nicht durchgelesen, Aber alle, die jetzt am Wochenende sich nicht hinsetzen und die Bewerbung für unsere offene Stelle schreiben, können natürlich auch die Gelegenheit nutzen. Da auch mal einen Blick reinzuwerfen. Den verlinken wir aber auch nochmal direkt natürlich hier in den. Und damit sind wir für heute durch. Lothar? Ganz lieben Dank, hat wieder Spaß gemacht. Danke, danke dir, also mir hat’s auch riesigen Spaß gemacht. Ist immer wieder schön hier. Und ich hoffe euch da draußen natürlich auch. Wir freuen uns wie immer auch über Rückmeldungen inhaltlicher Natur, Feedback, alles was uns hilft hier wieder besser zu werden sind wir immer offen und dankbar für. Von daher vielen vielen Dank, Ich würde sagen allen ein schönes Wochenende, bleibt uns gewogen und auf bald.