Lesedauer: 10 Minuten – Pro Einzelbeitrag: 30 Sekunden
Inhaltsverzeichnis
- EU-Kommission: Neue Standardvertragsklauseln für 2025 angekündigt
- DSK: Beschluss zu Asset Deals
- Wettbewerbszentrale veröffentlicht Leitfaden zur Kennzeichnung von werblichen Posts
- EuGH: Auch ein rein wirtschaftliches Interesse eines Unternehmens bei einer Datenverarbeitung kann legitim sein
- ÖBVwG: Design eines Cookiebanners
- ÖVG: Kein Anspruch auf Löschung eines Listings auf einer Bewertungsplattform
- BGH: Erstes Leitentscheidungsverfahren zum Schadensersatz nach Scraping
- BAG: Kein Schadensersatz nach Art. 82 DSGVO wegen unterbliebener Auskunft
- LG Hamburg: Erstes Urteil zu Text und Data Mining
- LG Traustein: Kein Anspruch gegenüber Social Media-Betreiber auf Datenverarbeitung und Datenspeicherung allein in Europa
- Außerordentliche Kündigung wegen DSGVO-Verstoß: OLG München zur Weiterleitung dienstlicher E-Mail an private Accounts
- LG Lübeck: Rechtswidrigkeit der Übermittlung bei fehlendem Abschluss eines Auftragsverarbeitungsvertrages
- OLG Nürnberg: Kündigungsbutton muss ohne vorherigen Login erreichbar sein
1. EU-Kommission: Neue Standardvertragsklauseln für 2025 angekündigt
von Christian Leuthner
Nachdem die EU-Kommission 2021 die Standardvertragsklauseln („SCC“) für Datenübermittlungen veröffentlicht hatte, war zunächst unklar, wie mit Datenübermittlungen an einen Empfänger umzugehen ist, der bereits der DSGVO unterliegt, beispielsweise weil er Dienstleistungen für betroffene Personen in der EU erbringt. Nach Erwägungsgrund 7 der SCC-Entscheidung sind die SCC hierfür nicht anwendbar.
Die EU-Kommission wird in Kürze eine öffentliche Konsultation zum Entwurf der neuen SCC starten, um die neuen SCC voraussichtlich 2025 zu verabschieden. Da die Datenimporteure in diesen Fällen bereits der DSGVO unterliegen, erwarten wir, dass die neuen SCC weniger Pflichten für die Datenimporteure enthalten, um doppelte Pflichten zu vermeiden.
Fazit: Endlich wird die Lücke für Übermittlungen an Empfänger, die unter die DSGVO fallen, geschlossen. Bis die neuen SCC verfügbar sind, sollten sich die Parteien auf die aktuellen SCC oder andere Datenübertragungsmechanismen stützen.
2. DSK: Beschluss zu Asset Deals
von Dr. Thomas Fischl
Die DSK hat am 11. September 2024 einen Beschluss zum Schutz personenbezogener Daten bei Asset Deals verabschiedet. Der Beschluss stellt die datenschutzrechtlichen Pflichten klar und unterscheidet dabei zwischen Kundendaten bei Vertragsanbahnung, laufenden oder beendeten Beziehungen.
Um die Einhaltung der DSGVO zu gewährleisten, wird in dem Beschluss betont, dass für bestimmte Datenübermittlungen die Zustimmung des Kunden erforderlich ist, insbesondere wenn es sich um sensible Daten wie Gesundheitsinformationen oder Mitarbeiterdaten handelt. In dem Beschluss wird auch betont, dass der Verkäufer für den Datenschutz während der Übermittlung verantwortlich ist. Dies umfasst auch die Umsetzung angemessener Sicherheitsmaßnahmen.
Fazit: Im Rahmen von Asset Deals, insbesondere im Hinblick auf den Datenschutz und die umfangreichen Rechte des Einzelnen, sind Unternehmen zunehmend gefordert, mögliche Risiken frühzeitig zu erkennen.
3. Wettbewerbszentrale veröffentlicht Leitfaden zur Kennzeichnung von werblichen Posts
von Dr. Alexander Hardinghaus, LL.M.
Im August 2024 veröffentlichte die Wettbewerbszentrale einen neuen unverbindlichen Leitfaden für die Werbekennzeichnung durch Influencer. Hintergrund ist das Ergebnis einer Untersuchung der Europäischen Kommission und Verbraucherbehörden, wonach nur 20% der überprüften Influencer ihre Posts systematisch als Werbung kennzeichnen. Der neue Leitfaden ergänzt den Leitfaden „Werbekennzeichnung bei Online-Medien“ der Landesmedienanstalten, welcher ebenfalls in 2024 aktualisiert wurde.
Fazit: Die Wettbewerbszentrale hat sich intensiv mit den rechtlichen Anforderungen an die Werbekennzeichnung für Influencer auseinandergesetzt. Hiermit geht ein erhöhtes Abmahnrisiko für Influencer, die den Kennzeichnungspflichten nicht nachkommen, einher.
4. EuGH: Auch ein rein wirtschaftliches Interesse eines Unternehmens bei einer Datenverarbeitung kann legitim sein
von Joana Becker
In einem aktuellen Urteil vom 4. Oktober 2024 (Az.: C‑621/22) hat sich der EuGH mit der Rechtsgrundlage des berechtigten Interesses auseinandergesetzt. Konkret entschied er, dass die Weitergabe von Mitgliederdaten durch einen Tennis-Verband an Sponsoren, für die dieser eine Vergütung durch die Sponsoren erhielt, nicht auf diese Rechtsgrundlage gestützt werden kann. Zwar betont der EuGH, dass auch ein rein wirtschaftliches Interesse legitim sein kann, hier sei die Weitergabe jedoch nicht erforderlich und die Interessen der Mitglieder überwägen, da die Weitergabe an einen Glücksspielanbieter nicht erwartbar war.
Fazit: Das Urteil ist für Unternehmen insoweit erfreulich als der EuGH festgestellt hat, dass auch rein wirtschaftliche Interessen des Unternehmens als ein berechtigtes Interesse i.S.v. Art. 6 Abs. 1 lit. f DSGVO bewertet werden können. Insgesamt kann dies Unternehmen mehr Flexibilität in der Gestaltung ihrer Geschäftstätigkeit bieten. Unternehmen sollten dennoch weiterhin die Grenzen des berechtigten Interessen im Auge behalten und dieses nicht zu weit ausdehnen.
5. ÖBVwG: Design eines Cookiebanners
von Sven Schonhofen, LL.M.
Das österreichische Bundesverwaltungsgericht hat mit Entscheidung vom 31. Juli 2024 (Geschäftszahl W108 2284491-1) zum Design eines Cookiebanners entschieden. Das Gericht hat entschieden, dass die Nichtabgabe der Einwilligung so einfach sein müsse, wie die Abgabe der Einwilligung. Die Nichtabgabe einer Einwilligung dürfe daher nicht mehr Interaktionen mit dem Cookiebanner erfordern als die Abgabe der Einwilligung. In dem konkreten Fall war eine Gleichwertigkeit von Abgabe und Nichtabgabe der Einwilligung nicht gegeben, da für die Abgabe der Einwilligung nur ein Klick erforderlich war, wohingegen die Nichtabgabe einer Einwilligung zumindest zwei Klicks erforderte. Das Gericht entschied zudem, dass die unterschiedliche optische Gestaltung (grüner Button „Akzeptieren“ und bloßer Link „Zwecke anzeigen“) dazu führte, dass die Wahlmöglichkeiten nicht als gleichwertig wahrnehmbar angesehen werden könnten.
Fazit: Das Gericht ist hinsichtlich der optischen Gestaltung besonders streng. Die deutschen Datenschutzbehörden haben das Merkmal der gleichwertigen Wahrnehmbarkeit bisher nicht angewendet.
6. ÖVG: Kein Anspruch auf Löschung eines Listings auf einer Bewertungsplattform
von Dr. Andreas Splittgerber
Der österreichische Verwaltungsgerichtshof („ÖVG“) hatte über eine Revision zu entscheiden, die von zwei Hotelbesitzern gegen die Entscheidung der österreichischen Datenschutzbehörde eingelegt wurde (Urteil vom 17. Mai 2024, Az.: Ro 2022/04/0026 bis 0027-7). Die Datenschutzbehörde hatte einen Anspruch der Hotelbesitzer auf Löschung ihrer Listung auf einer Bewertungsplattform verneint. Der ÖVG bestätigte diese Entscheidung.
Fazit: Die vorliegende Entscheidung ergänzt die Linie der Rechtsprechung in Europa zur Frage, dass Unternehmen normalerweise kein Recht auf Löschung einer Listung auf Internetplattformen, insbesondere Bewertungsplattformen, haben. Für die hier vorzunehmende Interessenabwägung liefert das Urteil des ÖVG weitere Kriterien. Insgesamt gibt es aber keine abschließende Liste von Kriterien. Vielmehr ist stets eine Gesamtschau der Umstände erforderlich.
7. BGH: Erstes Leitentscheidungsverfahren zum Schadensersatz nach Scraping
von Dr. Hannah von Wickede
In seinem ersten Leitentscheidungsverfahren hat sich der BGH (Beschluss vom 18. November 2024, Az.: VI ZR 10/24) mit Ansprüchen auf immateriellen Schadensersatz gem. Art. 82 DSGVO nach einem Scraping-Vorfall beschäftigt. Ausreichend für das Vorliegen eines immateriellen Schadens ist nach Ansicht des BGH bereits ein nachgewiesener Kontrollverlust oder eine nachgewiesene begründete Befürchtung des Missbrauchs der gescrapten Daten durch Dritte. Der BGH orientiert sich also für die Auslegung des Schadensbegriffs an der Rechtsprechung des EuGH, trägt darüber hinaus aber nicht zu dessen Konturierung bei und lässt viele Fragen offen. Hinsichtlich der Anspruchshöhe, legt sich der BGH aber fest: In ähnlich gelagerten Fällen wäre ein immaterieller Schadensersatz der Höhe nach nur auf ca. 100 Euro zu bemessen.
Fazit: Obwohl Leitentscheidungsverfahren eigentlich eingeführt wurden, um den Instanzgerichten in Massenverfahren Orientierung hinsichtlich der Klärung offener Rechtsfragen zu bieten, lässt die Entscheidung des BGH eine Hilfestellung zum Umgang mit dem Schadensbegriff des Art. 82 DSGVO vermissen. Finanziell lohnen dürften sich derartige Massenverfahren für die Kläger und Klägervertreter aber zukünftig nur noch seltener, wenn in vielen Fällen überhaupt nur mit 100 Euro, also einem Bruchteil der üblicherweise eingeforderten Beträge gerechnet werden kann.
8. BAG: Kein Schadensersatz nach Art. 82 DSGVO wegen unterbliebener Auskunft
von Dr. Hannah von Wickede/Vincent Magotsch, LL.M.
Das BAG hat mit Urteil vom 20. Juni 2024 (Az.: 8 AZR 124/23) die Klage einer Arbeitnehmerin auf Schadensersatz gemäß Art. 82 DSGVO wegen unterbliebener Auskunft nach Art. 15 DSGVO abgewiesen. Das Gericht führte aus, dass die bloße Besorgnis weiterer Verstöße gegen datenschutzrechtliche Verpflichtungen nicht ausreichend sei, um einen immateriellen Schaden zu begründen. Erforderlich sei vielmehr eine substantiierte Darlegung des eingetretenen Schadens im Sinne des nationalen Prozessrechts.
Fazit: Für die arbeitsrechtliche Praxis bedeutet dies, dass der Auskunftsanspruch nach Art. 15 DSGVO als Druckmittel des Arbeitnehmers, beispielsweise im Kündigungsschutzverfahren, hinsichtlich eines Schadensersatzanspruches des Arbeitnehmers an Bedeutung verliert. Da ein Verstoß gegen den Auskunftsanspruch jedoch nach wie vor an Aufsichtsbehörden gemeldet und von diesen nach Art. 83 Abs. 5 lit. b DSGVO mit (bis zu sehr erheblichen) Geldbußen geahndet werden kann, bleibt der Auskunftsanspruch nach Art. 15 DSGVO dennoch ein taugliches Druckmittel für Arbeitnehmer in arbeitsrechtlichen Streitigkeiten.
9. LG Hamburg: Erstes Urteil zu Text und Data Mining
von Johannes Berchtold, LL.M.
Das LG Hamburg (Urteil vom 27. September 2024 Az.: 310 O 227/23) hat sich als erstes deutsches Gericht mit der Anwendung der Text und Data Mining-Schranken der §§ 44b, 60d UrhG auf das Web-Scraping befasst. Der klagende Fotograf verlangte von dem beklagten LAION e.V. es zu unterlassen, eine seiner im Internet verfügbaren Fotografien zur Erstellung von KI-Trainingsdatensätzen herunterzuladen. Zwar hielt das Gericht den auf der Website in natürlicher Sprache formulierten Nutzungsvorbehalt für wirksam, im Ergebnis wies das Landgericht die Klage aber dennoch ab, da sich der LAION e.V. auf die Wissenschaftsschranke des § 60d UrhG berufen konnte.
Fazit: Urheber sollten prüfen, wie sie ihre öffentlichen Werke durch technische oder rechtliche Vorkehrungen vor der Weiterverwendung durch KI-Unternehmen schützen können. KI-Entwickler wiederum müssen überprüfen, unter welchen Voraussetzungen sie öffentlich zugängliche Werke herunterladen dürfen. Das Urteil des LG Hamburg kann hierzu als erster Anhaltspunkt dienen.
10. LG Traustein: Kein Anspruch gegenüber Social Media-Betreiber auf Datenverarbeitung und Datenspeicherung allein in Europa
von Tim Sauerhammer
Das LG Traunstein (Urteil vom 8. Juli 2024, Az.: 9 O 173/24) hat eine Klage gegen einen internationalen Social Media-Betreiber wegen angeblicher anlassloser Überwachung und unerlaubter Datenübermittlung in die USA vollständig abgewiesen. Zum einen habe die Klägerin die behauptete anlasslose Überwachung nicht ausreichend belegt. Zum anderen erfolge die Datenübermittlung in die USA aufgrund des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023 und damit auf einer tauglichen Grundlage für die Datenübermittlung nach Art. 45 Abs. 3 DSGVO. Abschließend wies das Gericht darauf hin, dass soweit Datenschutzbehörden abweichende Auffassungen vertreten, diese für das Gericht nicht bindend seien.
Fazit: Nutzer eines global betriebenen sozialen Netzwerks können von dem Verantwortlichen nicht verlangen, dass sämtliche personenbezogenen Daten in Europa gespeichert und verarbeitet werden. Die unternehmerische Entscheidung des Betreibers der Plattform die entsprechenden Daten auch außerhalb Europas zu verarbeiten wird von den Nutzern in der Regel hinzunehmen sein.
11. Außerordentliche Kündigung wegen DSGVO-Verstoß: OLG München zur Weiterleitung dienstlicher E-Mail an private Accounts
von Elisa Saier
Das OLG München hat am 31. Juli 2024 (Az.: U 351/23 e) entschieden, dass die Weiterleitung dienstlicher E-Mails an private E-Mail-Accounts von Mitarbeitern einen schwerwiegenden Verstoß gegen die DSGVO darstellen und damit ein wichtiger Grund für eine außerordentliche Kündigung gemäß § 626 Abs. 1 BGB sein kann. Zwar stellt das OLG München klar, dass nicht jeder Verstoß gegen die DSGVO automatisch eine außerordentliche Kündigung aus wichtigem Grund rechtfertigt. Ein wichtiger Grund liegt allerdings dann vor, wenn die weitergeleitete E-Mail sensible Daten enthält. Hierzu zählen laut OLG München insbesondere Informationen wie geldwäscherechtliche Anfragen, Provisionsansprüche, Gehaltsabrechnungen oder interne Planungen und Streitigkeiten innerhalb des Unternehmens.
Fazit: Das OLG München hat klargestellt, dass die unautorisierte Weiterleitung dienstlicher E-Mails mit sensiblen Daten an private E-Mail-Accounts einen schwerwiegenden Verstoß gegen die DSGVO und damit einen wichtigen Grund für eine außerordentliche Kündigung darstellen kann. Trotzdem müssen Einzelfälle individuell geprüft werden, da nicht jeder DSGVO-Verstoß automatisch eine Kündigung rechtfertigt. Insoweit sensible Informationen betroffen sind, wiegt der Verstoß jedoch besonders schwer.
12. LG Lübeck: Rechtswidrigkeit der Übermittlung bei fehlendem Abschluss eines Auftragsverarbeitungsvertrages
von Florian Schwind
Das LG Lübeck verurteilte einen Verantwortlichen in einem Urteil vom 4. Oktober 2024 (Az.: 15 O 216/23) zur Zahlung eines Schadensersatzes in Höhe von EUR 350,00 nach Art. 82 DSGVO, da zwischen dessen Auftragsverarbeiter und einem Unterauftragsverarbeiter ein Auftragsverarbeitungsvertrag fehlte. Das LG Lübeck geht davon aus, dass das Vorhandensein eines solchen Auftragsverarbeitungsvertrages eine Rechtmäßigkeitsvoraussetzung der Übermittlung der personenbezogenen Daten des Verantwortlichen an den Auftragsverarbeiter ist.
Fazit: Auch wenn die Rechtsansicht des LG Lübeck diskussionswürdig erscheint, zeigt diese Entscheidung, dass Unternehmen stets die gesamte Verarbeitungskette auf die Einhaltung des Datenschutzes überprüfen sollten.
13. OLG Nürnberg: Kündigungsbutton muss ohne vorherigen Login erreichbar sein
von Dr. Carsten Dobler
Mit Urteil vom 30. Juli 2024 hat das OLG Nürnberg (Az.: 3 U 2214/23) die gesetzlichen Anforderungen gemäß § 312k Abs. 2 Satz 4 BGB präzisiert, wonach der Kündigungsbutton „ständig verfügbar sowie unmittelbar und leicht zugänglich sein“ müsse. Diesen Pflichten werde selbst in Fällen, in denen zum Abschluss des später zu kündigenden Vertrags ein Kundenkonto zwingend erforderlich sei, nicht entsprochen, wenn der Kündigungsbutton lediglich im geschützten Kundenbereich verfügbar und somit erst nach einem Login erreichbar sei. Vielmehr müsse der Kündigungsbutton dort präsentiert werden, wo auch auf die Möglichkeit zum Abschluss des Vertrags im elektronischen Geschäftsverkehr aufmerksam gemacht werde. Eine Ausnahme sei denkbar, wenn die Nutzung des Dienstes ein ständiges Login erfordere.
Fazit: Mit dieser Entscheidung hat das OLG Nürnberg der gesetzgeberischen Intention entsprochen, wonach Kündigungen ebenso einfach abzugeben sein sollen wie die Erklärungen über den Abschluss entsprechender Verträge, und gleichzeitig klargestellt, dass in besonders gelagerten Fällen weniger strenge Vorgaben gelten können.
Lesehinweise zum IT- und Datenschutzrecht
von Sven Schonhofen, LL.M.
- Datenschutzkonferenz
- Aktualisierte Cookie-Orientierungshilfe für Anbieter von digitalen Diensten
- EDSA
- Erster Bericht zum EU-U.S. Data Privacy Framework
- Orientierungshilfe zur Verarbeitung von personenbezogenen Daten auf Grundlage der berechtigten Interessen
- Arbeitsprogramm 2024/25
- Vorschau: EDSA wird noch vor Ende des Jahres eine Stellungnahme zu KI Modellen veröffentlichen
- Datenschutzbehörde Baden-Württemberg
- FAQ zu Deceptive Design Patterns
- Aktualisiertes Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“
- EU Kommission
- Bericht über die Eignungsprüfung „Digitale Fairness“
EU-Datenstrategie: Bleiben Sie auf dem Laufenden zu Data Act, AI Act, Digital Services Act, NIS2, Cyberresilliance Act, European Health Space mit unserer Blogreihe.
Freuen Sie sich außerdem auf unsere neue wöchentliche Blogreihe "Tech Litigation News", in der wir jeden Mittwoch spannende Einblicke und Analysen zu aktuellen Themen der Plattform- und Datenschutz - Litigation präsentieren.
Hören Sie sich den Reed Smith Podcast, Tech Law Talks, an. In unserem Podcast besprechen unsere Tech und Data Anwälte regelmäßig aktuelle Themen aus den Bereichen Datenschutz, Datensicherheit, Risikomanagement, IP, Social Media und mehr.
AI Explained ist unsere neue Reihe von Videos und Podcasts zum Thema künstliche Intelligenz, die Perspektiven zum Einsatz von KI in vielen Sektoren/Branchen und Rechtsordnungen bieten. Wir befassen uns mit den wichtigsten Herausforderungen, Chancen, Risiken und Vorschriften in den verschiedenen Sektoren.
Um immer aktuelle Informationen zu bekommen, besuchen Sie unseren Blog Technology Law Dispatch.