Unser Datenschutz-Update im April 2025

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den April 2025.

1. Nachrichten aus der Welt des Datenschutzes

Datenschutzbehörde startet Untersuchung gegen X Internet Unlimited Company: Nutzung von Social-Media-Posts für KI-Training im Fokus

Am 11. April 2025 hat die irische Datenschutzbehörde (Data Protection Commission, DPC) offiziell eine Untersuchung gegen die X Internet Unlimited Company (XIUC) eingeleitet. Anlass ist die mögliche rechtswidrige Nutzung personenbezogener Daten von EU-/EWR-Nutzer:innen, die öffentlich auf der Plattform „X“ (ehemals Twitter) gepostet wurden, zum Training von KI-Modellen.

Hintergrund der Untersuchung

Im Zentrum steht die Verwendung von öffentlich zugänglichen Beiträgen auf „X“ für das Training der Grok Large Language Models (LLMs), einer KI-Entwicklung der Firma xAI.
Diese Modelle treiben unter anderem den neuen Grok-Chatbot an, der auf der „X“-Plattform verfügbar ist und ähnlich wie andere moderne KI-Chatbots arbeitet.

Die DPC prüft nun insbesondere:

• Ob die Verarbeitung der Beiträge im Einklang mit der DSGVO steht, insbesondere in Bezug auf die Rechtmäßigkeit und Transparenz der Datennutzung.
• Ob personenbezogene Daten ohne ausreichende Rechtsgrundlage verarbeitet wurden.
• Welche Schutzmaßnahmen XIUC im Rahmen der Datenverarbeitung ergriffen hat.

Rechtliche Grundlage der Untersuchung

Die Einleitung des Verfahrens erfolgt auf Basis von Section 110 des irischen Datenschutzgesetzes von 2018.
Die Entscheidung wurde von den beiden Datenschutzbeauftragten, Dr. Des Hogan und Dale Sunderland, getroffen und XIUC in dieser Woche offiziell zugestellt.

Die DPC konzentriert sich dabei auf die Frage, ob Nutzer:innenbeiträge, die eigentlich öffentlich sichtbar sind, ohne weitere Einwilligung oder spezifische Information der Nutzer:innen für hochsensible Zwecke wie das Training von KI-Systemen verwendet werden durften.

Bedeutung für Unternehmen

Diese Untersuchung könnte weitreichende Auswirkungen auf die Nutzung öffentlicher Daten für KI-Training haben:

• Öffentlich zugängliche Daten sind nicht automatisch „frei verwendbar“ – auch hier gelten die Grundsätze der DSGVO, insbesondere Transparenz und Zweckbindung.
• KI-Projekte müssen sorgfältig geprüft werden, wenn personenbezogene Daten – selbst solche aus offenen Quellen – in das Training einfließen.
• Unternehmen sollten ihre Datenschutzdokumentationen aktualisieren und klare Informations- und Einwilligungsprozesse entwickeln, wenn sie KI-Technologien einsetzen.

Fazit

Die DPC zeigt mit dieser Untersuchung deutlich: Auch die Entwicklung moderner KI-Systeme muss die Grundrechte und Datenschutzvorgaben respektieren.
Unternehmen, die mit öffentlich zugänglichen Daten arbeiten oder KI-Modelle trainieren, sollten wachsam bleiben und ihre Prozesse auf Datenschutzkonformität überprüfen.

2. Entscheidungen des Monats

BGH: Auskunftsersuchen eines Gesellschafters über Mitgesellschafter:innendaten zulässig – auch für Kaufangebote

Am 22. Januar 2025 entschied der Bundesgerichtshof (BGH) im Beschluss II ZB 18/23 eine bedeutende Frage für Gesellschafter:innen von Personen- und Publikumsgesellschaften: Ein:e Gesellschafter:in darf Auskunft über die Namen, Anschriften und Beteiligungshöhen ihrer bw. seiner Mitgesellschafter:innen verlangen, selbst wenn sie oder er diese Informationen nutzen möchte, um Kaufangebote zu unterbreiten. Weder stellt dies eine unzulässige Rechtsausübung noch einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) dar.

Hintergrund des Falls

Der Kläger war über einen Treuhand- und Servicevertrag mittelbar an zwei Fondsgesellschaften beteiligt. Mit anwaltlichem Schreiben vom 4. Januar 2022 forderte er von der Beklagten Auskunft über die persönlichen Daten und Beteiligungshöhen der anderen Gesellschafter:innen. Die Beklagte verweigerte diese Auskunft. In den Vorinstanzen wurde sie jedoch zur Herausgabe der Informationen verurteilt. Auch das Berufungsgericht bestätigte diese Entscheidung. Nun wies der BGH schließlich die Rechtsbeschwerde der Beklagten zurück.

Entscheidungsgründe des BGH

Der BGH stützte seine Entscheidung auf mehrere zentrale Grundsätze:

1. Mitgliedschaftliches Recht auf Kenntnis der Mitgesellschafter:innen

Bereits aus dem Gesellschaftsvertrag ergibt sich nach ständiger Rechtsprechung das unentziehbare Recht einer Gesellschafterin oder eines Gesellschafters, ihre bzw. seine Vertragspartner:innen zu kennen. Dieses Recht ist integraler Bestandteil der Mitgliedschaft und nicht zur Disposition der Gesellschaft oder der Mitgesellschafter:innen gestellt. Das Auskunftsverlangen ist lediglich durch die Grundsätze von Treu und Glauben (§ 242 BGB) sowie das Schikaneverbot (§ 226 BGB) begrenzt.

2. Auskunftsanspruch auch für Treugeber:innen

Selbst wenn ein:e Gesellschafter:in – wie hier – nur mittelbar über einen Treuhandvertrag beteiligt ist, steht ihr/ihm das Auskunftsrecht zu, sofern sie/er im Innenverhältnis der/den direkt Beteiligten gleichgestellt ist. Die Gleichstellung im Innenverhältnis berechtigt auch Treugeber:innen, unmittelbar Auskunftsansprüche geltend zu machen.

3. Keine Verletzung der DSGVO

Die Datenschutz-Grundverordnung steht dem Auskunftsverlangen nicht entgegen. Nach der Argumentation des BGH müssen Gesellschafter:innen einer Personen- oder Publikumsgesellschaft damit rechnen, dass ihre personenbezogenen Daten – einschließlich Beteiligungshöhen – an Mitgesellschafter:innen übermittelt werden. Ein besonderes Schutzbedürfnis, das eine Verweigerung rechtfertigen könnte, liegt in diesem Kontext nicht vor.

Zudem stellte der BGH klar, dass für einen vertraglichen Ausschluss der Weitergabe personenbezogener Daten im vorliegenden Fall keine entsprechende Vereinbarung existierte. Selbst wenn ein solcher Ausschluss existiert hätte, wäre er nach deutschem Recht unwirksam, da das Recht, die eigenen Vertragspartner:innen zu kennen, unentziehbar ist.

4. Belästigung durch Kaufangebote ist unerheblich

Der Einwand, die Übermittlung von Kaufangeboten könne als Belästigung empfunden werden, wurde vom BGH ebenfalls als unerheblich eingestuft. Solche Angebote seien lediglich als geringfügige Belästigung zu bewerten und könnten das Auskunftsrecht nicht beschränken.

Fazit

Eine pragmatische Entscheidung des BGH, die einen in diesem Fall überbordenden Datenschutzgedanken in die Schranken weist. Mit seiner Entscheidung stärkt der BGH die Rechte von Gesellschafter:innen – auch solcher, die nur mittelbar beteiligt sind – erheblich. Das Recht auf Auskunft über die Mitgesellschafter:innen wird klar bestätigt und dabei sowohl gegenüber Vorbehalten aus dem Datenschutzrecht als auch gegen Argumente einer möglichen Belästigung durch Kaufangebote verteidigt.

Für die Praxis bedeutet dies: Wer sich an einer Personen- oder Publikumsgesellschaft beteiligt, muss grundsätzlich damit rechnen, dass die eigenen Daten den Mitgesellschafter:innen offengelegt werden können.

BVerwG äußert sich zu unzulässiger Telefonwerbung: Rechtlicher Rahmen: DSGVO und UWG müssen zusammen gedacht werden

Viele Unternehmen setzen auf Telefonwerbung, um neue Geschäftspartner:innen zu gewinnen. Doch ein aktuelles Urteil des Bundesverwaltungsgerichts (BVerwG) zeigt: Die rechtlichen Anforderungen sind hoch, auch wenn die Werbung sich an Freiberufler:innen wie Zahnärzt:innen richtet. Insbesondere sind die Vorgaben der DSGVO und des Gesetzes gegen den unlauteren Wettbewerb (UWG) eng miteinander verzahnt zu beachten.

In dem Urteil ging es um verschiedene Fragen, u.a. Gründe für ein Wiederaufgreifen des Verfahrens, Verhältnis von europäischem zu nationalen Recht, etc. Deshalb fassen wir hier die wichtigsten Aussagen zu DSGVO und UWG für Unternehmen verständlich zusammen.

Zum Sachverhalt

Ein Unternehmen, das Edelmetallreste von Zahnarztpraxen ankauft, nutzte Daten (Name, Anschrift, Telefonnummer) aus öffentlich zugänglichen Verzeichnissen wie den Gelben Seiten, um Zahnarztpraxen telefonisch anzusprechen. Ziel war es, ein mögliches Interesse am Verkauf von Edelmetallen zu sondieren.

Die Datenschutzaufsicht untersagte diese Praxis – damals noch nach alter Rechtslage 2017. Die Klägerin machte in Berufung und Revision geltend, dass nach neuer Rechtslage – die DSGVO – der Bescheid aufzuheben wäre. Das Bundesverwaltungsgericht bestätigte hingegen die Untersagung durch die Behörde.

Das BVerwG analysierte insbesondere zwei zentrale Punkte:

1. Berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO

Die Klägerin berief sich auf Art. 6 Abs. 1 lit. f DSGVO. Danach ist die Verarbeitung personenbezogener Daten zulässig, wenn

• ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vorliegt,
• die Verarbeitung zur Verwirklichung dieses Interesses erforderlich ist und
• keine überwiegenden Interessen oder Grundrechte der betroffenen Person entgegenstehen.

Das Bundesverwaltungsgericht führte dazu näher aus:

„Ein breites Spektrum von Interessen kann grundsätzlich als berechtigt gelten.“
Entscheidend sei aber eine sorgfältige Prüfung, ob das Interesse nicht ebenso wirksam auf anderem Wegeund mit geringerem Eingriff in die Grundrechte erreicht werden kann (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).

Darüber hinaus betonte das Gericht:

„Eine Abwägung der gegenüberstehenden Rechte und Interessen ist erforderlich und hängt von den konkreten Umständen des Einzelfalls ab.“
Besonders sei zu berücksichtigen, ob die betroffene Person vernünftigerweise mit einer solchen Verarbeitung rechnen kann (Erwägungsgrund 47 DSGVO).

In diesem Fall überwogen die Interessen der Zahnärzt:innen, weil unerwünschte Telefonwerbung nach § 7 UWG grundsätzlich als unzumutbare Belästigung gilt (dazu gleich mehr).

2. Keine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO

Das Unternehmen konnte sich auch nicht auf eine Einwilligung der Zahnärzt:innen berufen.
Nach Art. 6 Abs. 1 lit. a DSGVO ist die Datenverarbeitung nur dann zulässig, wenn eine freiwillige, informierte und unmissverständliche Einwilligung der betroffenen Person vorliegt.

Das Gericht stellte klar:

„Die Klägerin hat keine Einwilligungen der kontaktierten Zahnärzt:innen eingeholt, und es ist auch nicht ersichtlich, dass solche Einwilligungen vorlagen.“

Insbesondere reichte es nicht aus, dass die Daten aus öffentlichen Quellen stammten: Ohne explizite Zustimmung darf weder eine Speicherung zu Werbezwecken noch eine telefonische Ansprache erfolgen.

Das Verhältnis von DSGVO und UWG: Warum § 7 UWG entscheidend ist

Das Bundesverwaltungsgericht unterstrich, dass bei der datenschutzrechtlichen Interessenabwägung die Vorgaben des § 7 UWG zu berücksichtigen sind.
§ 7 Abs. 2 Nr. 1 UWG bestimmt:

Telefonische Werbung gegenüber Verbraucher:innen ist nur mit vorheriger ausdrücklicher Einwilligung zulässig.
Bei anderen Marktteilnehmer:innen (z. B. Freiberufler:innen wie Zahnärzt:innen) genügt eine mutmaßliche Einwilligung, die aber klar erkennbar sein muss.

Hierzu präzisierte das Gericht:

„Bei der von der Klägerin praktizierten telefonischen Ansprache handelt es sich um Werbung im Sinne des § 7 UWG.“
Werbung umfasse nach ständiger Rechtsprechung nicht nur Angebote, sondern auch Nachfragehandlungen, wie etwa Ankäufe von Edelmetallen.

Das Gericht wies ausdrücklich darauf hin, dass:

„Auch gegenüber Freiberufler:innen oder Gewerbetreibenden wie Zahnarztpraxen ist eine mutmaßliche Einwilligung erforderlich.“
Diese lag hier jedoch nicht vor, da die Zahnärzt:innen nicht vernünftigerweise mit solchen Werbeanrufen rechnen mussten.

Ohne ausdrückliche oder mutmaßliche Einwilligung liegt also eine unzumutbare Belästigung vor – was sowohl gegen das UWG als auch gegen die DSGVO verstößt.

Fazit: Was Unternehmen beachten sollten

1. Telefonwerbung ohne Einwilligung ist riskant.
Selbst bei Geschäftskund:innen oder Freiberufler:innen wie Ärzt:innen dürfen Werbeanrufe nur mit klarer Einwilligung oder mutmaßlicher Einwilligung erfolgen.

2. Öffentlich zugängliche Daten sind nicht „frei nutzbar“.
Auch Daten aus Branchenverzeichnissen unterliegen dem Schutz der DSGVO.

3. Berechtigtes Interesse hilft nicht bei Werbeanrufen.
Wenn eine Werbemaßnahme nach UWG unzulässig ist, fehlt es automatisch auch am „berechtigten Interesse“ im Sinne der DSGVO.

4. Einwilligungen dokumentieren!
Wer auf Nummer sicher gehen will, sollte Einwilligungen einholen und diese sauber dokumentieren.

Das Urteil des Bundesverwaltungsgerichts zeigt deutlich: Wer Daten verarbeitet und Kund:innen anruft, sollte die enge Verzahnung von Datenschutzrecht und Wettbewerbsrecht immer im Blick behalten. Kleine Unternehmen sollten ihre Werbepraxis anpassen und sichere Wege wie schriftliche Angebote oder Plattformen mit Einwilligungsfunktion bevorzugen.

Zulässige Überwachung von Arbeitnehmer:innen: Wann Detektive und Überwachung erlaubt sind

Gerade kleine und mittelständische Unternehmen stehen oft vor schwierigen Fragen, wenn sie den Verdacht hegen, dass ein:e Mitarbeiter:in ihre/seine Pflichten verletzt – etwa durch Arbeitszeitbetrug. Ein aktuelles Urteil zeigt, wann Überwachungsmaßnahmen rechtlich zulässig sind und was Arbeitgeber:innen beachten müssen.

Ausgangsfall: Arbeitszeitbetrug und Detektiveinsatz

Ein Unternehmen im öffentlichen Personennahverkehr hatte Zweifel an der Arbeitszeiterfassung eines Fahrausweisprüfers. Trotz Eintragungen im Zeiterfassungssystem gab es Hinweise darauf, dass der Mitarbeiter während der Arbeitszeit privaten Tätigkeiten wie Fitnessstudio-, Moschee- oder Bäckereibesuchen nachging.

Zur Aufklärung dieser Vorwürfe beauftragte das Unternehmen eine Detektei, die den Mitarbeiter an mehreren Tagen observierte.
Das Ergebnis: Der Arbeitnehmer hatte über mehrere Tage hinweg Arbeitszeit erschlichen, indem er private Erledigungen während der Arbeitszeit tätigte und diese Zeiten nicht korrekt erfasste.

Das Unternehmen kündigte daraufhin außerordentlich fristlos und verlangte zudem die Erstattung der Detektivkosten in Höhe von über 21.000 Euro.

Was das Gericht entschieden hat

Das Arbeitsgericht und das Landesarbeitsgericht bestätigten die Sicht des Arbeitgebers:

1. Fristlose Kündigung wegen Arbeitszeitbetrugs war wirksam

Das Gericht stellte klar:

• Ein vorsätzlich falsches Erfassen von Arbeitszeiten stellt einen schweren Vertrauensbruch dar.
• Wer private Tätigkeiten als Arbeitszeit abrechnet, verletzt seine arbeitsvertraglichen Pflichten erheblich.
• Arbeitgeber:innen müssen sich auf die Angaben im Zeiterfassungssystem verlassen können.

Zitat aus dem Urteil:

„Der vorsätzliche Verstoß eines Arbeitnehmers gegen seine Verpflichtung, die abgeleistete Arbeitszeit korrekt zu dokumentieren, ist an sich geeignet, einen wichtigen Grund zur außerordentlichen Kündigung darzustellen.“

2. Überwachung durch Detektive war zulässig

Auch der Einsatz einer Detektei wurde als rechtmäßig eingestuft:

• Das Unternehmen hatte konkrete Anhaltspunkte für ein Fehlverhalten.
• Die Überwachung beschränkte sich auf die Arbeitszeiten und öffentliche Räume (z. B. öffentliche Straßenzüge, Cafés).
• Eingriffe in Persönlichkeitsrechte waren gering und angemessen.

Wichtig:

„Ein Sachvortrags- oder Beweisverwertungsverbot kommt – gerade auch im Geltungsbereich der DSGVO – nur dann in Betracht, wenn eine zwingende Grundrechtsverletzung vorliegt.“
Dies war hier nicht der Fall.

Selbst eine denkbare kleinere Datenschutzverletzung hätte das Beweisverwertungsverbot nicht automatisch ausgelöst.

3. Erstattung der Detektivkosten durch den Arbeitnehmer

Das Gericht sprach dem Arbeitgeber auch die Erstattung der Detektivkosten zu:

• Die Beauftragung war wegen konkreter Verdachtsmomente gerechtfertigt.
• Die Aufklärung diente unmittelbar der Wahrung betrieblicher Interessen.
• Der Arbeitnehmer wurde klar einer schwerwiegenden Pflichtverletzung überführt.

Zitat:

„Der Arbeitnehmer hat wegen der Verletzung arbeitsvertraglicher Pflichten dem Arbeitgeber die notwendigen Detektivkosten als Schadenersatz zu erstatten.“

Was bedeutet das für Unternehmer? 

Überwachung nur bei konkretem Verdacht

Eine Überwachung darf nicht ins Blaue hinein erfolgen.
Es müssen bereits nachweisbare Anhaltspunkte für ein schwerwiegendes Fehlverhalten bestehen.

Verhältnismäßigkeit wahren

Die Überwachung muss sich auf das notwendige Maß beschränken:

• Nur während der Arbeitszeit.
• Möglichst im öffentlichen Raum.
• Keine umfassende Überwachung des Privatlebens.

Betriebsrat beteiligen

Wenn im Unternehmen ein Betriebsrat existiert, ist er vor einer Kündigung ordnungsgemäß anzuhören. Mehr zu den Beteiligungsrechten vom Betriebsrat erfahren Sie hier.

Datenschutz beachten, aber Verhältnisse wahren

Die Datenschutz-Grundverordnung (DSGVO) gilt auch bei Überwachungsmaßnahmen.
Eine zulässige Interessenabwägung kann aber die Überwachung rechtfertigen, wenn das Persönlichkeitsrecht der Arbeitnehmer:innen nicht übermäßig verletzt wird.

Detektivkosten können erstattungsfähig sein

Wenn der Verdacht bestätigt wird, können Arbeitgeber:innen die entstandenen Kosten für Detektivbeobachtungen von Arbeitnehmer:innen zurückverlangen.

Fazit

Arbeitszeitbetrug ist kein Kavaliersdelikt. Unternehmen dürfen bei konkretem Verdacht geeignete Überwachungsmaßnahmen einleiten – müssen dabei aber sorgfältig abwägen, dokumentieren und Verhältnismäßigkeit wahren.
Dieses Urteil zeigt, dass rechtmäßige Überwachung ein starkes Mittel sein kann, um schwerwiegende Pflichtverletzungen aufzudecken und arbeitsrechtliche Konsequenzen durchzusetzen.

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter