Newsletter zum Datenschutz 11/2025 |
|
|
| Sehr geehrte Damen und Herren, |
|
|
in unserem Schwerpunktthema blicken wir diesmal auf die Transkription von Online-Meetings durch Software, die in Unternehmen zunehmend analoge Sitzungsprotokolle ersetzt, in der Belegschaft wegen der Aufzeichnung der Stimme und des Wortes der jeweiligen Sprecher aber auch Kritik begegnen kann. Hier beleuchten wir, welche datenschutzrechtlichen Herausforderungen sich bei der Transkription von Online-Meetings stellen können. Außerdem blicken wir auf zwei Vorabentscheidungsersuchen des BGH, in der das Gericht vom EuGH die Frage geklärt wissen möchte, was unter „Kosten“ im Sinne der Richtlinie 2005/29/EG über unlautere Geschäftspraktiken zu verstehen ist, und ob ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auch dann bestehe, wenn die betroffene Person den Datenschutzverstoß selbst provoziert habe.
In einer Entscheidung aus dem September klärte der BGH ferner die Frage, ob die DSGVO eine Ausnahme von der sogenannten Anwaltspflicht bei Land- und Oberlandesgerichten vorsehe. Ebenfalls berichten wir von einer Entscheidung des OLG Stuttgart, in der sich das Gericht – ähnlich wie der BGH – mit der Frage befassen musste, ob die Preisgabe von personenbezogenen Daten als Gegenleistung für ein Vorteilsprogramm einen „Preis“ im Sinne des Verbraucherrechts darstelle, sowie von zwei Entscheidungen aus München, die präzisieren, unter welchen Voraussetzungen sich die Abhilfebefugnis der Datenschutzaufsichtsbehörde gegen die Datenverarbeitung durch eine verantwortlichen Stelle auf Null reduziere (VGH München) und wann ein Anspruch auf Ersatz immaterieller Schäden nach Art. 82 Abs. 1 DSGVO wegen Treuwidrigkeit ausscheide (LG München I).
Im vergangenen Monat teilte der Europäische Datenschutzausschuss (EDSA) außerdem mit, unter welchem Thema seine fünfte koordinierte Durchsetzungsmaßnahme im Jahr 2026 stehen werde, und die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) nahm Stellung zum Entwurf eines Gesetzes zur Durchführung der KI-Verordnung. |
|
|
Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.
Dr. Sebastian Meyer und das Datenschutzteam von BRANDI
|
| Dr. Sebastian Meyer |
Rechtsanwalt und Notar mit Amtssitz in Bielefeld
Fachanwalt für Informationstechnologierecht (IT-Recht)
Datenschutzauditor (TÜV)
|
| Informationen & Kontakt |
|
|
| Thema des Monats / November 2025 |
Die Transkription von Online-Meetings |
|
|
 |
| © AdobeStock/InfiniteFlow |
|
|
Für viele Beschäftige sind Online-Meetings ein fester Bestandteil des Terminkalenders. Bislang werden zur Dokumentation und Nachbereitung der dort besprochenen Inhalte oftmals noch handschriftliche Protokolle angefertigt. Für eine vereinfachte Erledigung dieses Arbeitsschrittes kommt immer häufiger sogenannte Transkriptionssoftware zum Einsatz.
Eine Transkription ist die automatische Erstellung von Gesprächsprotokollen, indem die Wortbeiträge der Teilnehmer in Echtzeit aufgezeichnet und sodann verschriftlicht werden. Dabei werden regelmäßig personenbezogene Daten der Beschäftigten, wie der Name, die Stimme und der Inhalt der Wortbeiträge, verarbeitet, sodass der Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) eröffnet ist.
Die Verantwortung für den datenschutzkonformen Einsatz der Transkriptionssoftware trägt das Unternehmen, das sich für deren Einsatz entschieden hat. Wobei zu beachten gilt, dass der Schutz natürlicher Personen bei der Verarbeitung der sie betreffenden personenbezogenen Daten ein Grundrecht darstellt (vgl. Erwägungsrund 1 DSGVO), das den Schutz der Stimme und des eigenen Wortes umfasst. Die sprechende Person soll selbst bestimmen können, wer das gesprochene Wort zur Kenntnis nehmen darf. Wird das gesprochene Wort in Echtzeit und ohne Einflussmöglichkeiten der sprechenden Person transkribiert, ist die Eingriffsintensität als hoch zu bewerten. Erschwerend kommt das Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer hinzu.
Daraus ergibt sich für Unternehmen bei dem Einsatz von Transkriptionssoftware die Frage, auf welche Rechtsgrundlage die damit verbundene Datenverarbeitung gestützt werden kann und wie die umfassenden Informationspflichten gegenüber der betroffenen Person umgesetzt werden können. |
|
|
Weitere Themen in diesem Newsletter |
|
|
| BGH |
Vorlage zum EuGH bezüglich Facebook-Werbung |
|
|
Mit Beschluss vom 25. September 2025 hat der BGH ein Verfahren um die Eigenwerbung des Onlinedienstes „Facebook“ der Meta Platforms Technologies Ireland Ltd. mit der Aussage „kostenlos“ ausgesetzt, um dem EuGH eine Frage zur Auslegung des Begriffs „Kosten“ im Sinne der Richtlinie über unlautere Geschäftspraktiken vorzulegen (BGH, Beschluss v. 25.09.2025 - Az.: I ZR 11/20).
Die im Ausgangsverfahren beklagte Betreiberin von Facebook hatte im Februar 2015 im Zusammenhang mit der Registrierung auf der Internetplattform mit der Aussage „Facebook ist und bleibt kostenlos“ geworben. Hiergegen hatte der Bundesverband der Verbraucherzentralen mit der Begründung die Angabe sei irreführend auf Unterlassung geklagt, da die Nutzung des sozialen Netzwerks nicht kostenlos, sondern von der Zurverfügungstellung von personenbezogenen Daten als Gegenleistung abhängig sei.
Der geltend gemachte Unterlassungsanspruch wird dabei auf einen Verstoß gegen Nr. 21 Hs. 1 alte Fassung (a.F.) bzw. Nr. 20 Hs. 1 des Anhangs zu § 3 Abs. 3 UWG gestützt, wonach es eine unzulässige geschäftliche Handlung ist, ein Angebot mit „gratis“, „umsonst“ oder „kostenfrei“ zu bewerben, wenn gleichwohl Kosten zu tragen sind. Es sei daher entscheidungserheblich, wie „Kosten“ in dem Sinne zu verstehen seien. Die Vorschriften dienen der Umsetzung der Richtlinie 2005/29/EG über unlautere Geschäftspraktiken und sind daher richtlinienkonform auszulegen. Das Auslegungsergebnis des BGH ist allerdings nicht eindeutig. Neben den naheliegenden Zahlungspflichten könnte im Gesamtzusammenhang des unionsrechtlichen Verbraucherschutzes auch die Bereitstellung von Daten als vermögenswerte Gegenleistung hierunter fallen, weswegen der BGH dem EuGH die Frage vorlegt, ob der Begriff der „Kosten“ im Sinne der Richtlinie auch die Preisgabe personenbezogener Daten und die Einwilligung in ihre Nutzung zu kommerziellen Zwecken umfasse. |
|
|
| Gesche Kracht |
| Wissenschaftliche Mitarbeiterin |
|
|
| BGH |
Vorlage zum EuGH bezüglich Schadensersatz bei massenhaft provoziertem Datenschutzverstoß |
|
|
In einem weiteren Verfahren rund um einen „Google-Fonts“-Datenschutzverstoß hat der BGH am 28. August 2025 ebenfalls entschieden, dem EuGH vorzulegen, konkret mit der Frage ob ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auch bei massenhaft provoziertem Datenschutzverstoß besteht (BGH, Beschl. v. 28.08.2025 - Az.: VI ZR 258/24).
Forderung im Ausgangsrechtsstreit war nicht der Schadensersatzanspruch selbst, sondern die Rückforderung eines im Hinblick auf einen geltend gemachten angeblichen Verstoß gezahlten Betrags. Der Kläger hatte auf seiner Webseite „Google Fonts“ eingebunden, was dazu führte, dass beim Besuch der Webseite standardmäßig die Schriften von Google Fonts über einen Google-Server nachgeladen (dynamische Einbindung) und hierbei die jeweilige IP-Adresse des Webseitenbesuchers in die USA übermittelt wurde. Der Beklagte hatte unter Nutzung spezifischer Software eine automatisierte Überprüfung einer Vielzahl von Webseiten auf die dynamische Einbindung von Google Fonts unternommen, wovon auch die Webseite des Klägers betroffen war. Dieser erhielt – wie 100.000 weitere Webseitenbetreiber – durch den ebenfalls beklagten Rechtsanwalt im Anschluss ein „Abmahnschreiben“ mit einer Geldforderung i.H.v. 170,00 € unter Bezugnahme auf eine vorgebliche Datenschutzverletzung durch die Einbindung von Google Fonts. Der Kläger überwies zunächst den Betrag, forderte ihn aber nach Medienberichten über das Vorgehen der Beklagten zurück.
Nach Ansicht des BGH kommt ein Anspruch auf Rückerstattung nach deutschem Recht nur in Betracht, wenn dem Beklagten kein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO zustand. Zunächst sei fraglich, ob die dynamische IP-Adresse im konkreten Fall überhaupt ein personenbezogenes Datum i.S.d. Art. 4 Nr. 1 DSGVO darstelle. Bei der Bestimmung des hinreichenden Personenbezugs könnte entweder auf die Identifizierung durch den Empfänger – Google USA – oder die Identifizierung durch beliebige Dritte – auch den Internetzugangsanbietern – abgestellt werden und dies sowohl in konkreter als auch in abstrakter Hinsicht. Der BGH sieht diese Fragen als nicht hinreichend geklärt an und richtet sie daher an den EuGH.
Ferner stelle sich die Frage, ob ein immaterieller Schaden – nach unionsrechtlich autonomer Auslegung – auch dann angenommen werden könne, wenn der betroffene Beklagte den Verstoß bewusst und allein zu dem Zweck herbeigeführt habe, den Verstoß gegen den Verantwortlichen geltend zu machen. Schließlich habe der Beklagte die Webseite nur automatisiert per Software „besucht“, wobei im konkreten Fall auch die Vielzahl der geltend gemachten Ansprüche gegen eine Befürchtung des Beklagten an der missbräuchlichen Verwendung seiner Daten spräche. Zudem möchte der BGH wissen, ob in solchen Fällen das Verbot des Rechtsmissbrauchs einem Schadensersatzanspruch entgegenstehen würde. |
|
|
| Gesche Kracht |
| Wissenschaftliche Mitarbeiterin |
|
|
| BGH |
Keine Ausnahme von Anwaltspflicht durch DSGVO |
|
|
Mit Beschluss vom 15. September 2025 bestätigte der BGH das Erfordernis der anwaltlichen Vertretung vor den Landgerichten und Oberlandesgerichten auch bei Geltendmachung von Ansprüchen aus der DSGVO (BGH, Beschl. v. 15.09.2025 - Az.: I ZB 36/25).
Die Klägerin hatte gegen die Ablehnung eines von ihr geltend gemachten Anspruchs aus Art. 79 DSGVO ohne anwaltliche Vertretung Berufung eingelegt, welche mangels Postulationsfähigkeit verworfen wurde. Für die von ihr beabsichtigte Rechtsbeschwerde gegen den Verwerfungsbeschluss beantragte sie Prozesskostenhilfe vor dem BGH.
Gem. § 78 Abs. 1 S. 1 ZPO müssen sich Parteien vor den Landgerichten und Oberlandesgerichten durch einen Rechtsanwalt vertreten lassen. Dieses Erfordernis habe die Klägerin nicht erfüllt. Der von ihr geltend gemachte Art. 80 Abs. 1 DSGVO, wonach sich eine betroffene Person bei Beschwerden und der Geltendmachung bestimmter Rechte durch eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Datenschutzes tätig ist, vertreten lassen kann, modifiziere diese Regelung nicht. Art. 80 Abs. 1 DSGVO beziehe sich nicht auf die Einlegung von Rechtsbehelfen, sondern nur auf Wahrnehmung von Rechten. Die Befugnis eine Beschwerde oder einen Prozess im fremden Namen zu führen, sei aber von der Vertretung im Prozess zu trennen. Eine Rechtsbeschwerde der Klägerin habe keine hinreichende Aussicht auf Erfolg, weswegen der Antrag auf Prozesskostenhilfe abgelehnt wurde. |
|
|
| Gesche Kracht |
| Wissenschaftliche Mitarbeiterin |
|
|
| OLG Stuttgart |
Personenbezogene Daten als „Preis“ |
|
|
Ähnlich wie der BGH war auch das OLG Stuttgart mit der Frage befasst, ob die Bereitstellung personenbezogener Daten als Gegenleistung einzuordnen ist. Mit Urteil vom 23. September 2025 entschied das OLG, dass die Bereitstellung von Daten kein zu kennzeichnender „Preis“ im Sinne des Verbraucherrechts ist (OLG Stuttgart, Urt. v. 23.09.2025 - Az. 6 UKl 2/25).
Die Beklagte hat Verbrauchern ein sog. Vorteilsprogramm („Loyalty-Programm Lidl Plus“) mit personalisierten Produktinformationen, -angeboten und weiteren Serviceleistungen angeboten, welches laut Teilnahmebedingungen kostenlos ist. Mit der Registrierung erklärten sich Kunden zudem mit der Erhebung und Speicherung von Daten unter anderem zur Ermittlung der passenden Angebote einverstanden. Der Kläger ist der Auffassung, die Gestaltung des Registrierungsprozesses verstoße gegen die Pflicht zur Angabe des Gesamtpreises gem. §§ 312 Abs. 1a, 312c, 312d Abs. 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Nr. 5 EGBGB und klagte deswegen auf Unterlassung.
Das OLG Stuttgart lehnt den Antrag mit der Begründung ab, dass die Beklagte zur Kennzeichnung der Bereitstellung personenbezogener Daten als Gegenleistung für das Vorteilsprogramm und somit als Gesamtpreis nicht verpflichtet sei. Die Regelung der Informationspflicht gem. § 312d Abs. 1 S. 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Nr. 5 EGBGB diene der Umsetzung der Verbraucherrechterichtlinie und sei daher richtlinienkonform auszulegen. Aufgrund der Bestrebung des Unionsgesetzgebers die Verbraucherrechterichtlinie und die Richtlinie (EU) 2019/770 (Digitale-Inhalte-Richtlinie) anzugleichen, könne auf letztere für eine Legaldefinition des Preises zurückgegriffen werden. Nach Art. 2 Nr. 7 Digitale-Inhalte-Richtlinie ist vom Begriff „Preis“ nur Geld oder eine digitale Darstellung eines Wertes, nicht jedoch die Bereitstellung personenbezogener Daten umfasst. Das OLG Stuttgart argumentiert daher, dass die Hingabe von Daten nicht mit einer vertraglichen Gegenleistung des Verbrauchers gleichzusetzen sei und für die Beklagte damit keine Pflicht zur Angabe eines Gesamtpreises gem. §§ 312 Abs. 1a, 312c, 312d Abs. 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Nr. 5 EGBGB bestehen könne. Die Bezeichnung des Vorteilsprogramms als „kostenlos“ sei auch nicht nach § 3 Abs. 3 UWG i.V.m. Nr. 20 des Anhangs zu § 3 Abs. 3 UWG zu beanstanden, da die Beklagte die Erhebung und Verwendung personenbezogener Daten in angemessener Form erläutere und die Verbraucher nicht über verdeckte Kosten – hier: die Preisgabe von personenbezogen Daten als Gegenleistung – täusche. |
|
|
| Gesche Kracht |
| Wissenschaftliche Mitarbeiterin |
|
|
| VGH München |
Anspruch auf Einschreiten der Aufsichtsbehörde nur bei klarem Verstoß |
|
|
Der VGH München hat am 12. September 2025 beschlossen, dass das Vorgehen von Datenschutzaufsichtsbehörden grundsätzlich in ihrem Ermessen steht. Ein Anspruch auf Einschreiten der Aufsichtsbehörde komme nur in Betracht, wenn ein Verstoß gegen die DSGVO klar festgestellt werden kann (VGH München, Beschl. v. 12.09.2025 - Az.: 5 ZB 23.1778).
Der Entscheidung zugrunde liegt die Beendigung eines Beschwerdeverfahrens durch die beklagte Landesdatenschutzaufsichtsbehörde. Der Kläger hatte dieses betrieben, weil er von einer privaten Sicherheitskraft mit einer Bodycam gefilmt wurde, nachdem diese ihn aus einem Einkaufszentrum verwiesen hatte. Die Aufsichtsbehörde hatte nach Prüfung des Sachverhalts keine Maßnahmen ergriffen, weil keine Anhaltspunkte für einen Datenschutzverstoß vorlägen, es könne insbesondere nicht mehr aufgeklärt werden, ob die Bodycam erst nach einer Ankündigung aktiviert worden sei. Mit der hiergegen erhobenen Klage begehrte der Kläger die Verpflichtung der Beklagten aufsichtsbehördliche Maßnahmen gegen den Verantwortlichen zu ergreifen, was das erstinstanzliche Gericht ablehnte.
Im Rahmen der Prüfung der Berufungszulassung stellt der VGH fest, dass die Beklagte hinreichend ihrer Ermittlungspflicht nachgekommen sei. Eine Abhilfebefugnis der Aufsichtsbehörde bestünde nur bei feststehenden Verstößen gegen die DSGVO, vgl. Art. 58 Abs. 1 und 2 DSGVO. Nach Art. 78 Abs. 1 DSGVO habe zwar jede Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen aufsichtsbehördliche Entscheidungen, die Überprüfung durch die Gerichte sei aber auf die Einhaltung der Ermessensgrenzen beschränkt. In einer zweistufigen Prüfung sei zunächst zu ermitteln, ob die Aufsichtsbehörde in angemessenem Umfang das Vorliegen eines Verstoßes gegen die DSGVO überprüft habe. Auch im zweiten Schritt ergäbe sich nur ein Anspruch auf ermessensfehlerfreie Entscheidung über das Einschreiten. Im konkreten Fall lägen allerdings bereits schon keine hinreichenden Anhaltspunkte für einen Datenschutzverstoß vor, womit die Befugnis zum Einschreiten ausscheide. |
|
|
| Gesche Kracht |
| Wissenschaftliche Mitarbeiterin |
|
|
| LG München I |
Kein Anspruch auf Schadensersatz bei Verstoß gegen Treu und Glauben |
|
|
Das LG München I entschied in einem Verfahren gegen die Meta Platforms Technologies Ireland Ltd. mit Urteil vom 27. August 2025, dass ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO wegen Drittstaatendatentransfer ausscheidet, wenn ihr Onlinedienst „Facebook“ unter Kenntnis der internationalen Datenübermittlung bewusst genutzt wird (LG München I, Urt. v. 27.08.2025 - Az.: 33 O 635/25).
Die beklagte Betreiberin der globalen Onlinedienste Facebook und Instagram wird von dem Kläger unter Bezugnahme auf eine unzulässige Übermittlung von Daten in die USA vor Inkrafttreten des EU-U.S. Data Privacy Frameworks unter anderem auf Schadensersatz in Anspruch genommen.
Nach Auffassung des LG bestehe ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO schon deshalb nicht, weil die Datenübermittlung in dem in Rede stehenden Zeitpunkt auf Standardvertragsklauseln gem. Art. 46 Abs. 1 DSGVO gestützt war und damit hinreichend abgesichert gewesen sei. Auch konnte der Kläger einen Schaden nicht überzeugend darlegen. Die Geltendmachung eines Schadensersatzanspruchs würde überdies gegen das Gebot von Treu und Glauben (§ 242 BGB) verstoßen. Aus allgemeiner Berichterstattung sei bekannt, dass die Beklagte Tochter eines US-amerikanischen Unternehmens sei und zur Anbietung ihrer Onlinedienste ein internationaler Datentransfer offensichtlich erforderlich sei. Dies wäre auch dem Kläger bekannt gewesen, welcher damit trotz Kenntnis des behaupteten Datenschutzverstoßes den Dienst weiter nutzte. Hieraus leitet das Gericht insgesamt ab, dass es dem Kläger nicht um den Ersatz des tatsächlich erlittenen Schadens geht, sondern er lediglich einen Vorteil aus dem Vorgang ziehen wollte. |
|
|
| Gesche Kracht |
| Wissenschaftliche Mitarbeiterin |
|
|
| LG Koblenz |
Auskunftsanspruch bei Fake-Profil |
|
|
Das LG Koblenz hatte in seinem Beschluss vom 25. August 2025 zu entscheiden, ob ein Auskunftsanspruch gegen die Betreiber eines sozialen Netzwerks besteht, wenn ein Profil das eigene Profil offensichtlich imitiert (sog. Fake-Profil) (LG Koblenz, Beschl. v. 25.08.2025 - Az. 2 O 1/25).
Die Antragstellerin ist Nutzerin des sozialen Netzwerks Instagram mit entsprechendem Nutzerkonto. Dort erlangte sie Kenntnis von einem anderen Konto, dass das ihr eigenes Konto optisch und inhaltlich imitierte. Zudem seien auch Personen von dem fremden Konto angeschrieben worden, wobei der Kontoinhaber sich als die Antragstellerin ausgegeben habe. Letztere beantragt deswegen eine gerichtliche Anordnung zur Auskunftserteilung gem. § 21 Abs. 2, 3 TDDDG hinsichtlich der Daten des Kontoinhabers des Fake-Profils.
Gem. § 21 Abs. 2 TDDDG darf der Anbieter eines digitalen Dienstes im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte aufgrund rechtswidriger audiovisueller Inhalte oder aufgrund von Inhalten, die den Tatbestand der dort genannten Strafgesetze des StGB erfüllen und nicht gerechtfertigt sind, erforderlich ist und von einem Gericht gem. § 21 Abs. 3 TDDDG angeordnet wurde. Im konkreten Fall beziehe sich Antragstellerin mit ihrem Antrag allerdings nur auf die Rechtswidrigkeit der Inhalte, ohne zu behaupten, dass die Inhalte auch einen der im Gesetz genannten Straftatbestände erfüllen. Daher richte sich Zulässigkeit ihres Auskunftsanspruchs allein danach, ob die rechtswidrigen Inhalte solche „audiovisueller“ Natur im Sinne von § 21 Abs. 2 TDDDG seien. Mangels einer entsprechenden Definition im TDDDG sei der allgemeine Sprachgebrauch heranzuziehen, wonach audiovisuell "zugleich hörbar und sichtbar, Augen und Ohr ansprechend" (Duden) meine. Das sieht das LG hier nicht gegeben. Die Behauptung, dass reine Bilder und Textnachrichten als audiovisuelle Inhalte qualifiziert werden könnten sei – so das Gericht weiter – schon mit Blick auf die Entstehungsgeschichte des § 21 TDDDG nicht haltbar, sodass die bloße Rechtswidrigkeit der in Rede stehenden Bilder und Textnachrichten keinen Auskunftsanspruch im Sinne des § 21 Abs. 2 TDDDG rechtfertige. Aufgrund des mit der Auskunft verbundenen Eingriffs in die informationelle Selbstbestimmung, könne eine Ausdehnung der Norm nicht ohne weiteres angenommen werden. Zur klareren Abgrenzung sei eine gesetzgeberische Konkretisierung allerdings sinnvoll. |
|
|
| Gesche Kracht |
| Wissenschaftliche Mitarbeiterin |
|
|
| DSK |
Stellungnahme zum Entwurf des Durchführungsgesetz zur KI-VO |
|
|
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 10. Oktober 2025 eine Stellungnahme zum Entwurf eines Gesetzes zur Durchführung der Verordnung über künstliche Intelligenz veröffentlicht und fordert damit insbesondere eindeutige Zuständigkeitsregelungen hinsichtlich der Überwachung von Hochrisiko-KI-Systemen, sowie datenschutzrechtlichen Fragen.
Nach der KI-Verordnung sind national zuständige Behörden einzurichten oder zu benennen. Nach dem Referentenentwurf eines Gesetzes zur Durchführung der KI-Verordnung (Stand 11. September 2025) sollen die allgemeinen Zuständigkeiten der Bundesnetzagentur (BNetzA) zugewiesen werden. Bei dem Einsatz von Hochrisiko-KI-Systemen könnten jedoch nur bestimmte Behörden eingesetzt werden, in Deutschland namentlich die Datenschutzbehörden. Laut der DSK sollten die vorhandenen Zuständigkeiten genutzt werden und keine Doppelzuständigkeiten geschaffen werden. Die Zuständigkeit zur Beaufsichtigung des Einsatzes von Hochrisiko-KI-Systemen durch die Behörden der Länder müsse nach Ansicht der DSK den für die Aufsicht zuständigen Landesbehörden obliegen. Der Gesetzesentwurf weise diese Zuständigkeit dagegen ebenfalls der BNetzA zu. Darüber hinaus wünscht sich die DSK eine Regelung zur effektiven Kooperation der BNetzA und der Aufsichtsbehörden, sowie die innovationsfördernde Einrichtung von KI-Reallaboren. |
|
|
| Mira Husemann |
| Wissenschaftliche Mitarbeiterin |
|
|
| EDSA |
Themenauswahl für koordinierte Durchsetzungsmaßnahme 2026 |
|
|
In seiner Plenarsitzung im Oktober traf der Europäische Datenschutzausschuss (EDSA) seine Themenauswahl für seine fünfte koordinierte Durchsetzungsmaßnahme (Pressemitteilung v. 14.10.2025).
Die koordinierten Durchsetzungsmaßnahmen (CEF) des EDSA sollen die Durchsetzung und Zusammenarbeit der Datenschutzbehörden fördern, indem die nationalen Datenschutzbehörden freiwillig Untersuchungen in Zusammenarbeit mit verantwortlichen Stellen durchführen und die gewonnenen Ergebnisse austauschen und auswerten. Die Durchsetzungsmaßnahme für das Jahr 2026 wird sich mit der Einhaltung der Transparenz- und Informationspflichten gemäß der DSGVO befassen. Der Grundsatz der Transparenz und die sich hieraus ergebenen Informationspflichten sind Kernelemente der DSGVO und sollen die Betroffenenrechte stärken. |
|
|
| Mira Husemann |
| Wissenschaftliche Mitarbeiterin |
|
|
| Deutschland |
Bußgeld wegen automatisierter Entscheidung über Kreditkartenanträge |
|
|
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat ein Bußgeld i. H. v. 492.000 Millionen € gegen ein Unternehmen aus der Finanzwirtschaft wegen automatisierter Entscheidungen über Kreditkartenanträge verhängt (Pressemitteilung v. 30.09.2025).
Mithilfe automatisierter Entscheidungen wurden die Kreditkartenanträge mehrerer Kunden von einem Finanzunternehmen abgelehnt – trotz guter Bonität. Eine Entscheidung ist automatisiert, wenn sie auf Grundlage von Algorithmen maschinell und ohne menschliches Eingreifen getroffen wird. Die betroffenen Kunden verlangten eine Begründung für die Ablehnung, woraufhin das Unternehmen seinen datenschutzrechtlichen Informations- und Auskunftspflichten nicht ausreichend nachkam. Die darauffolgend gute Zusammenarbeit des Finanzunternehmens mit der Aufsichtsbehörde wurde bei Bemessung des Bußgelds erheblich mildernd berücksichtigt.
Damit wurden vom HmbBfDI im Jahr 2025 bisher insgesamt Bußgelder i. H. v. 775.000 € wegen Datenschutzverstößen verhängt. Darunter Verstöße wegen E-Mail-Werbung ohne die Einwilligung der Betroffenen, Missachtung von Betroffenenrechten, missbräuchlicher Datenabfragen über Privatpersonen in behördlichen Datenbanken durch Beschäftigte der Polizei und anderer Hamburgischer Behörden ohne dienstliche Veranlassung sowie der rechtswidrigen Einsicht in eine Patientenakte durch einen Beschäftigten eines Krankenhauses (sogenannter Mitarbeiterexzess). |
|
|
| Mira Husemann |
| Wissenschaftliche Mitarbeiterin |
|
|
| Deutschland |
Bußgeld wegen der Missachtung von Betroffenenrechten |
|
|
Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW) hat ein Bußgeld i. H. v. 35.000 € gegen ein Personalvermittlungsunternehmen wegen Missachtung von Betroffenenrechten und Aufforderungen der LDI NRW verhängt (Pressemitteilung v. 12.09.2025).
Die LDI NRW wurde durch zahlreiche Beschwerden auf das Unternehmen aus Düsseldorf aufmerksam. Inhalt der Beschwerden waren überwiegend Auskunftsersuchen von Arbeitssuchenden, die von dem Unternehmen nicht oder falsch beantwortet wurden. In einigen Fällen wurde den betroffenen Personen die Löschung ihrer personenbezogenen Daten bestätigt, obwohl diese weiterhin zur Versendung des unternehmenseigenen Newsletters verarbeitet wurden. Die LDI NRW reagierte mit mehreren Schreiben an das Unternehmen, in denen um eine Auskunftserteilung gebeten wurde und über die Pflicht zur Wahrung der Betroffenenrechte aufgeklärt wurde. Auch diese Schreiben wurden von dem betroffenen Unternehmen missachtet. Die Landesdatenschutzbeauftragte, Frau Bettina Gayk, sanktionierte dieses „dreiste Verhalten“ des Unternehmens daher mit einem Bußgeld von über 35.000 Euro und betonte: „Ignoranz beim Datenschutz zahlt sich nicht aus.“ |
|
|
| Mira Husemann |
| Wissenschaftliche Mitarbeiterin |
|
|
| Wir haben den passenden Experten für Ihr Anliegen |
| |
 |
Damit Sie nicht lange Suchen müssen:
Wir verbinden Sie direkt mit dem richtigen Ansprechpartner! |
|
|
Newsletter abmelden
Dieser Newsletter wurde an unknown@noemail.com gesendet.
|
BRANDI Rechtsanwälte Partnerschaft mbB
Vertretungsberechtiger Partner: Dr. Siegfried Friesen, Adenauerplatz 1, 33602 Bielefeld
PR 2830 AG Essen, Sitz: Deutschland, Bielefeld, USt-IdNr.:DE124598917 |
|
|
|
|
