Unser Datenschutz-Update im Februar 2025
In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Februar 2025.
1. Nachrichten aus der Welt des Datenschutzes
Geheime Standortdaten im Umlauf: Wie unsere Apps uns ausspionieren
Eine aktuelle Recherche von BR, netzpolitik.org und internationalen Partnern zeigt ein massives Datenschutzproblem: Die Standortdaten von Millionen App-Nutzenden weltweit werden unkontrolliert weitergegeben und gehandelt. Davon betroffen sind auch fast 800.000 Menschen in Deutschland.
Apps als Datenquelle
Die Recherche zeigt, dass fast 40.000 Apps – darunter beliebte Anwendungen wie WetterOnline, Flightradar24, Kleinanzeigen oder FOCUS Online – Standortdaten ihrer Nutzenden preisgeben. Während einige Apps nur ungefähre Standorte weiterleiten, sammeln andere hochpräzise Daten, die Wohn- und Arbeitsorte erkennen lassen.
Die Daten stammen vermutlich aus dem Geschäft mit personalisierter Online-Werbung. Unternehmen übermitteln in Echtzeit Informationen über Nutzer – etwa ihren Aufenthaltsort oder ihr Smartphone-Modell – an eine Vielzahl von Werbepartnern. In den Datenschutzbestimmungen von WetterOnline sind beispielsweise über 800 Firmen gelistet, mit denen Daten geteilt werden, darunter Unternehmen in den USA, Hongkong und Brasilien.
Risiken: Kontrollverlust bis zur Erpressung
Die Folgen dieser massiven Datensammlung sind durchaus ernst zu nehmen. Standortdaten können zur Erstellung detaillierter Profile genutzt werden, ohne dass Betroffene davon wissen. Ein aktueller Fall aus den USA: Eine mutmaßlich russische Hackergruppe erpresst derzeit den Datenhändler Gravy Analytics mit gestohlenen Standortdaten.
Die Recherchen zeigen zudem, dass sich Datensätze kombinieren lassen, um Einzelpersonen zu identifizieren. So konnte eine Frau aus Niederbayern anhand ihrer Standortdaten exakt lokalisiert werden. Die Analyse ihrer Bewegungen offenbarte private Details – bis hin zu Arztbesuchen. Aus diesen Aufzeichnungen lassen sich entsprechend Gesundheitsinformationen ableiten
Behörden und Verbraucherschützer fordern strengere Regeln
Der Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Michael Will, nennt die Weitergabe der Daten einen „krassen Vertrauensbruch“ und kündigt Untersuchungen sowie mögliche Bußgelder an. Auch das Bundesverbraucherschutzministerium fordert strengere EU-weite Regelungen gegen personalisierte Werbung, um den Anreiz zur massenhaften Datenerhebung zu reduzieren.
Verbraucherschützer kritisieren, dass der globale Online-Werbemarkt außer Kontrolle geraten ist. Der Verbraucherzentrale Bundesverband spricht von „skrupellosen Datenhändlern“, die hochsensible Informationen verbreiten, während Webseiten und Apps diese rechtswidrigen Praktiken ermöglichen.
Fazit: Schutz der Privatsphäre in Gefahr
Die aktuellen Enthüllungen zeigen, wie unkontrolliert und intransparent unsere Daten gehandelt werden. Wer Apps nutzt, muss sich bewusst sein, dass selbst harmlose Anwendungen wie Wetter- oder Shopping-Apps sensible Informationen preisgeben können. Schärfere Datenschutzvorgaben aber auch ein Umdenke aller Nutzer n im Umgang mit Online-Werbung sind dringend notwendig, um die Privatsphäre zu schützen.
2. Entscheidungen des Monats
Auftragsverarbeiter-Exzess und die Pflichten des Verantwortlichen
In vergangenen Datenschutz-Updates berichteten wir häufiger schon über die Pflichten, die Verantwortlichen gegenüber ihren Auftragsverarbeitern obliegen. Unter anderem ging es auch um die Pflicht, die Auftragsverarbeiter bei der Einhaltung der DSGVO zu überprüfen.
Wie ist es nun, wenn ein Auftragsverarbeiter nach Beendigung des Auftragsverarbeitungsvertrags seiner Pflicht, die Daten zu löschen, nicht nachkommt? Wenn er die fremden Daten sogar vertragswidrig zu eigenen Zwecken weiterverarbeitet? Muss der Verantwortlich im Nachhinein auch hier nachprüfen, ob der Auftragsverarbeiter alle seine Pflichten erfüllt? Diese Frage hatten aktuell sowohl das OLG Dresden (Urteil vom 05.11.2024, Az. 4 U 729/24) als auch das OLG Stuttgart (Beschluss v. 15.10.2024, Az. 4 U 49/24) zu entscheiden.
Eine OLG -Ansicht
Das OLG Dresden entschied, dass dem Verantwortlichen eine Kontrollpflicht über die Löschung der beim Auftragsverarbeiter angefallenen personenbezogenen Daten obliege.
„Dem datenschutzrechtlich Verantwortlichen obliegt gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrags eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten.“
“ Auf einen Exzess kann er sich nicht berufen, wenn er dieser Kontrollpflicht nicht genügt.Er könne sich nicht auf einen Exzess seines Auftragsverarbeiters berufen, wenn er dieser Kontrollpflicht nicht genügt habe.“
Eine andere OLG-Ansicht
Im Gegensatz dazu lehnte das OLG Stuttgart eine solche Pflicht des Verantwortlichen ab und gestand ihm zu, sich auf einen Exzess des Auftragsverarbeiters zu berufen, wenn der Auftragsverarbeiter trotz Zusicherung der Löschung zum Vertragsende und „ohne Kenntnis des Verantwortlichen weiter vorhält und diese Daten später beim Auftragsverarbeiter abhandenkommen.“ Weiter begründete das OLG Stuttgart seine Entscheidung:
„Für den Verantwortlichen besteht in einer derartigen Konstellation kein Anlass mehr, die Einhaltung des Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter über das Vertragsende hinaus zu überwachen und zu kontrollieren, sondern er konnte grundsätzlich darauf vertrauen, dass die Daten gelöscht sind…„
„Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters kann sich danach nicht auf Fälle erstrecken, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung vereinbar ist, wie sie vom Verantwortlichen festgelegt wurden, oder die Daten auf eine Weise verarbeitet werden, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche dem zugestimmt hätte.“
Fazit
Die Entscheidung des OLG Stuttgart erscheint hier vernünftig und praxisbezogen. Trotzdem besteht Rechtsunsicherheit aufgrund der unterschiedlichen Sichtweise der beiden Oberlandesgerichte in ähnlich gelagerten Fällen. Es bleibt abzuwarten, was der Bundesgerichtshof entscheidet, wenn er diese Fragen zu entscheiden hat.
Immaterieller Schadensersatz wegen verfrühter SCHUFA-Eintragung
Ein Mobilfunkanbieter wurde zur Zahlung eines Ersatzes für immateriellen Schaden verurteilt, weil er über eine Kundin verführt einen SCHUFA Eintrag veranlasst hatte.
Zum Fall:
Der Mobilfunkanbieter schloss mit einer Kundin einen Mobilfunkvertrag. Der Vertrag räumte der Kundin die Möglichkeit ein, im Fall einer frühzeitigen Vertragsverlängerung um 24 Monate zu einem günstigeren Tarif zu wechseln. Im Verlauf der Vertragslaufzeit kam es zu Streitigkeiten über offen Beträge (die Einzelheiten sind für die datenschutzrechtlichen Entscheidungsgründe nicht relevant). Die Kundin berief sich darauf, den Vertrag widerrufen zu haben und nicht zur Leistung verpflichtet zu sein. Der Mobilfunkanbieter veranlasste einen Eintrag bei der SCHUFA zulasten der Kundin. Später gab der Anbieter die Löschung des Eintrags in Auftrag. Der Eintrag wurde erst fast 2 Jahre später vollständig gelöscht.
Der Mobilfunkanbieter verklagte die Kundin auf Zahlung. Die Kundin erhob Widerklage und machte immateriellen Schadensersatz von 6000,00 EUR geltend. Das Landgericht in erster Instanz gab der Klage statt und wies die Widerklage ab.
Auf die Berufung der Beklagten hat das Oberlandesgericht (OLG Koblenz, MDR 2022, 962) das Urteil des Landgerichts abgeändert. Es hat die Klage abgewiesen und unter Zurückweisung der weitergehenden Berufung die Klägerin im Hinblick auf die Widerklage verur teilt, an die Beklagte 500 € abzüglich eines von der Beklagten auf die Klageforderung anerkannten Betrags von 54,74 € als immateriellen Schadensersatz nebst Zinsen zu zahlen.
Das Berufungsgericht hat zur Begründung seiner Entscheidung ausgeführt: Der Beklagten stehe ein Anspruch auf Zahlung von immateriellem Schadensersatz aus Art. 82 Abs. 1 DSGVO …. zu. Die Klägerin habe ihre Pflichten aus Art. 5, 6 i.V.m. Art. 4 Nr. 2 DSGVO verletzt, indem sie personenbezogene Daten der Beklagten an die SCHUFA gemeldet habe, obwohl die Forderungen der Klägerin streitig und noch nicht tituliert gewesen seien, eine Meldung daher nicht hätte erfolgen dürfen.
Die Beklagte habe einen ihr entstandenen immateriellen Schaden hinreichend dargelegt. Die Beklagte sei durch die widerrechtliche Weitergabe ihrer Daten an die SCHUFA und deren Veröffentlichung als zahlungsunfähige oder jedenfalls zahlungsunwillige Kundin stigmatisiert worden. Diese Rufschädigung sei nach Art. 82 Abs. 1 DSGVO auszugleichen.
Die Beklagte verfolgte mit der Revision die Restsumme ihrer Schadensersatzforderung. Das Revisioinsgericht bestätigte die Entscheidung des Berufungsgerichts und wies die Revision ab.
Mehr dazu finden Sie hier: Urteil des VI. Zivilsenats vom 28.1.2025 – VI ZR 183/22 –
EuGH-Urteil: Höhere Bußgelder für Datenschutzverstöße
Der Europäische Gerichtshof (EuGH) hat am 13. Februar 2025 eine wegweisende Entscheidung getroffen: Die Bußgeldobergrenze für Datenschutzverstöße orientiert sich künftig am weltweiten Jahresumsatz des gesamten Konzerns. Dies bedeutet, dass Unternehmen mit hohen Umsätzen bei Datenschutzvergehen deutlich härtere Strafen erwarten können.
Grundlage der Entscheidung
Die zentrale Frage des Verfahrens war, ob der Begriff „Unternehmen“ in Artikel 83 Abs. 4 bis 6 DSGVO nach kartellrechtlichen Maßstäben auszulegen ist. Der EuGH hat dies bejaht und klargestellt, dass bei der Bemessung der Bußgeldhöhe nicht nur das einzelne Unternehmen, sondern die gesamte wirtschaftliche Einheit betrachtet werden muss. Somit kann die maximale Geldstrafe bis zu 4 % des weltweiten Jahresumsatzes des Konzerns betragen.
Weitreichende Auswirkungen
Diese Entscheidung geht über die Datenschutz-Grundverordnung (DSGVO) hinaus. Auch andere EU-Regulierungen wie die KI-Verordnung, der Digital Markets Act (DMA) und der Digital Services Act (DSA) basieren auf ähnlichen Bußgeldmechanismen. Damit dürfte das Urteil des EuGH auch für künftige Verfahren und Regulierungen maßgeblich sein.
Fazit: Strengere Strafen für Datenschutzverstöße
Mit dieser Entscheidung setzt der EuGH ein klares Signal: Datenschutzverstöße großer Konzerne werden nicht mehr isoliert auf einzelne Tochterunternehmen begrenzt, sondern im Kontext des gesamten Konzerns bewertet. Für global agierende Unternehmen bedeutet dies eine deutlich höhere finanzielle Verantwortung und verstärkten Druck, Datenschutzrichtlinien konsequent einzuhalten. Die Regulierungslandschaft in der EU wird somit weiter verschärft – ein wichtiger Schritt für mehr Datenschutz und Transparenz im digitalen Raum.
Mehr dazu finden Sie hier: CURIA – Documents
Hinweise zum Inhalt:
3. Das schreiben die Anderen zum Datenschutz
- Datenschutz auf der Webseite – das ist bei CMS wichtig
- Nicht durchgeführte Datenschutz-Folgenabschätzung – keine…
Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.
Wir helfen Ihnen beim Datenschutz
Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.
Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.
Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden.
Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/
Ihre Ansprechperson
Dr. Sonja Detlefsen
Lesen Sie hier weiter:
Unsere DSGVO-Checkliste für IT-Unternehmen
Was muss Ihr IT-Unternehmen tun, um DSGVO-konform aufgestellt zu sein? Wir erklären es Ihnen!
E-Book: Der richtige Datenschutzbeauftragte für Ihr IT-Unternehmen
Viele IT-Unternehmen wissen nicht, welcher der richtige Datenschutzbeauftragte für sie ist. In diesem E-Book stellen wir alle Vor- und Nachteile bei der Wahl Ihres Datenschutzbeauftragten übersichtlich gegenüber. So finden Sie den richtigen Datenschutzbeauftragten für Ihr IT-Unternehmen.
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Was sind „EULA“, und wer braucht sie eigentlich?
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- AGB-Änderungen im laufenden Vertrag – Teil 1: Voraussetzungen