Unser Datenschutz-Update im Januar 2025
In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Januar 2025.
1. Nachrichten aus der Welt des Datenschutzes
Frankreich: Bußgeld für Erhebung von Daten aus LinkedIn-Profilen
Die französische Aufsichtsbehörde (CNIL) hat ein Bußgeld in Höhe von 240.000 EUR gegen KASPR wegen der Erhebung von Daten aus LinkedIn-Profilen verhängt.
KASPR vermarktet eine kostenpflichtige Erweiterung für den Chrome-Browser, die es Kund:innen ermöglicht, die beruflichen Kontaktdaten von Personen zu erhalten, deren Profile sie im sozialen Netzwerk LinkedIn besuchen. Zu diesem Zweck baut das Unternehmen eine Datenbank mit Kontaktdaten von LinkedIn und anderen Websites wie z. B. Domänennamenregistern auf. Die so gesammelten Kontaktdaten ermöglichen es den Kund:innen des Unternehmens in der Regel, mit den Zielpersonen in Kontakt zu treten, z. B. zur Geschäftsanbahnung, Personalbeschaffung oder Identitätsprüfung.
Bei der CNIL gingen zahlreiche Beschwerden von Personen ein, die von Einrichtungen umworben wurden, die ihre Kontaktdaten über die KASPR-Erweiterung erhalten hatten. Die CNIL war der Ansicht, dass das Unternehmen mehrere Verpflichtungen aus der Datenschutz-Grundverordnung (DSGVO) nicht erfüllt hat.
Es ist naheliegend, dass die Ansicht der CNIL von anderen Aufsichtsbehörden geteilt wird. Gerade in Bezug auf Datensammlung von sozialen Plattformen zu Werbezwecken oder sonstigen anlasslosen Ansprachen sind die Aussagen der CNIL für Unternehmen von Interesse.
Rechtliche Grundlage (Art. 6 DSGVO)
Auf LinkedIn können Nutzer:innen aus vier Optionen wählen, um die Sichtbarkeit ihrer Kontaktinformationen zu bestimmen:
„Nur für mich sichtbar“; “Jeder auf LinkedIn“; „Verbindungen 1. Grades“ ; „Verbindungen 1. und 2. Grades“.
Zusätzlich zu den Kontaktdaten von Nutzer:innen, die sie für alle sichtbar gemacht hatten, erfasste KASPR auch die Kontaktdaten von Nutzer:innen, die sich dafür entschieden hatten, die Sichtbarkeit auf ihre Verbindungen ersten und zweiten Grades zu beschränken.
Die CNIL vertrat die Ansicht, dass die Erfassung von Kontaktdaten durch KASPR, für die LinkedIn-Nutzer:innen ausdrücklich die Sichtbarkeit eingeschränkt hatten, über das hinausging, was von Personen, die sich in einem professionellen sozialen Netzwerk registrieren, vernünftigerweise erwartet werden kann. Die CNIL stellte fest, dass für diese Personen die Tatsache, dass sie sich dafür entschieden haben, ihre Kontaktdaten für ihre Verbindungen ersten und zweiten Grades sichtbar zu machen, d. h. für ihre Kontakte im sozialen Netzwerk und die Kontakte ihrer Kontakte, nicht bedeutet, dass KASPR berechtigt war, auf ihre Kontaktdaten zuzugreifen und sie zu sammeln.
Angemessene Aufbewahrungsdauer (Art. 5 Abs. 1 lit. e DSGVO)
Das Unternehmen speicherte die gesammelten Daten für fünf Jahre ab einem Daten-Update wie einem Jobwechsel. Bei Personen, die vor Ablauf von fünf Jahren den Arbeitsplatz oder Arbeitgeber:in wechseln, stellte die CNIL fest, dass die Verlängerung der Aufbewahrungsfrist dazu führt, dass ihre Daten unverhältnismäßig lange aufbewahrt werden.
Keine ausreichende Transparenz und Information der Betroffenen (Art. 12, 14 DSGVO)
Das Unternehmen begann erst im Jahr 2022, also vier Jahre nach Beginn der Datensammlung, die betroffenen Personen darüber zu informieren, dass ihre personenbezogenen Daten erhoben worden waren. Die Information erfolgte über eine E-Mail in englischer Sprache mit einem Link zum Widerspruch gegen die Verarbeitung.
Abgesehen davon, dass das Unternehmen die betroffenen Personen verspätet informierte, war die CNIL auch der Ansicht, dass die Unterrichtung der betroffenen Personen über die Erhebung ihrer Daten in einer auf Englisch verfassten E-Mail keine transparente und verständliche Information darstellte.
Keine ausreichende Auskunft an Betroffene (Art. 15 DSGVO)
Als die Betroffenen KASPR fragten, wie ihre Kontaktdaten gesammelt worden seien, teilte das Unternehmen ihnen lediglich mit, dass ihre Kontaktdaten aus öffentlich zugänglichen Quellen gesammelt worden seien.
Nach dem Hinweis, dass das Unternehmen in der Lage sein sollte, „alle verfügbaren Informationen über die Quelle“ der Daten anzugeben, stellte die CNIL fest, dass das Unternehmen zwar technisch nicht in der Lage war, die Quelle der gesammelten Daten für jede betroffene Person anzugeben, ihm jedoch einige der Quellen bekannt waren, aus denen seine Datenbank gespeist wurde und die im Übrigen in seiner Datenschutzpolitik aufgeführt waren.
Die CNIL verhängte ein Bußgeld von 240.000 € und wies KASPR an:
- die Datensammlung einzustellen, soweit Personen auf LinkedIn ihre Kontaktdaten nur für Kontakte 1. und 2. Grades freigegeben haben,
- die automatische Verlängerung der Datenspeicherung zu stoppen,
- Betroffene angemessen über die Datenverarbeitung zu informieren (und in einer Sprache, die für sie verständlich ist, wofür Englisch nicht ausreichend sei),
- das Auskunftsrecht der Betroffenen umfänglich zu erfüllen.
Adresspreisgabe durch Meldebhörden für Wahlwerbung
In einer Pressemitteilung nahm der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit dazu Stellung, ob Meldeämter Adressen zum Zwecke der Wahlwerbung ohne vorherige Einwilligung der Betroffenen preisgeben dürfen.
Grundsatz:
Das Melderegister darf Adressen für Werbezwecke nur mit Einwilligung der betroffenen Person an Privatpersonen und Firmen weitergeben.
Ausnahme Wahlwerbung:
Bei politischen Parteien ist die Rechtslage jedoch eine andere: Weil politische Parteien ein Pfeiler des demokratischen Gefüges bilden, was auch im Grundgesetz verankert ist, werden sie privilegiert behandelt. So sieht § 50 Abs. 1 des Bundesmeldegesetzes vor, dass die Meldebehörden Adressdaten von Bürger:innen an Parteien, Wählergruppen und anderen Träger:innen von Wahlvorschlägen weitergeben dürfen; und zwar sechs Monate vor einer Wahl oder Abstimmung.
Muss man das hinnehmen?
Nein, man kann Widerspruch bei der Meldebehörde einlegen. Der Widerspruch kann formlos erfolgen und muss nicht für folgende Wahlen wiederholt werden.
Mehr dazu finden Sie hier: Darf das Meldeamt meine Adresse für Wahlwerbung preisgeben?
2. Entscheidungen des Monats
Zusendung von Werbung an Bestandskund:innen ohne „Kund:innenkonto“
Das Amtsgericht Hamburg-St. Georg hat in seinem Urteil vom 17.07.2024, Az. 916 C 89/22 (Volltext) zum Unterlassungsanspruch wegen Zusendung von Werbung Stellung genommen und diesen im zu entscheidenden Fall abgewiesen, da die berechtigten Interessen des Unternehmens den Interessen des Beklagten bis zum ausdrücklichen Widerspruch überwogen.
Zum Fall
Der Kläger bestellte im Online-Shop der Beklagten ein Handtuchkleid. Als Lieferadresse bestimmte er dabei eine von der Beklagten betriebene Filiale und als Zahlmethode „Barzahlung vor Ort bei Abholung“. Bei der Bestellung machte der Kläger von der Möglichkeit der sog. Gastbestellung Gebrauch, wobei er u.a. seine Adressdaten angab.
Bei einer Gastbestellung werden die angegebenen Kund:innendaten zur Abwicklung des Kaufvertrags lediglich im internen Kund:innenmanagementsystem der Beklagten erfasst. Ein Webshop-Kund:innenkonto mit „externer“ Zugriffsmöglichkeit (mit Login-Funktion und der Vergabe von Zugangsdaten) für Kund:innen wird hingegen nicht angelegt.
Die Verarbeitung der personenbezogenen Daten der/des jeweiligen Kundin/Kunden erfolgt bei der Gastbestellung lediglich zum Zwecke der Vertragsabwicklung. Bei Bestandskund:innen, d.h. nach Abschluss eines Kaufvertrages, erfolgt die Verarbeitung der Adressdaten außerdem zum Zweck postalischer Werbung. Hierüber informiert die Beklagte auf ihrer Homepage, wobei der Datenschutzhinweis im Rahmen der Bestellstrecke im unmittelbaren Zusammenhang mit dem Auslösen der Bestellung für die Kundin oder den Kunden abrufbar ist. Bei Anklicken der Datenschutzhinweise haben die Kund:innen die Möglichkeit, der Verwendung seiner Daten für Werbezwecke zu widersprechen. Für die inhaltliche Gestaltung der entsprechenden Belehrung wird auf Bl. 61 f. d.A. Bezug genommen.
Der Kläger machte von der Möglichkeit des Widerspruchs gegen die Verwendung seiner Daten zu Werbezwecken im Rahmen seiner Bestellung zunächst keinen Gebrauch
Kurze Zeit später übersandte die Beklagte dem Kläger mehrfach Werbekataloge in Form von personalisierten Postwurfsendungen. Der Kläger erhob daraufhin gegenüber der Beklagten einen Werbewiderspruch, den die Beklagte bestätigte und durch internen Vermerk einer Werbesperre umsetzte. Seitdem wurde keine Werbung mehr an den Kläger versandt. Gleichzeitig stellte der Kläger ein Auskunftsersuchen nach Art. 15 DSGVO, das die Beklagte erfüllte.
Per E-Mail forderte der Kläger die Beklagte erfolglos zur Abgabe einer strafbewehrten Unterlassungserklärung auf. Hierauf wandte sich der Kläger ans Gericht, um die Beklagte zur Abgabe einer Unterlassungserklärung und Zahlung eines Ordnungsgeldes zu verurteilen.
Entscheidung des Gerichts
Das Gericht sah weder eine Verletzung des Persönlichkeitsrechts noch eine Verletzung der Vorschriften der DSGVO.
„…Vorliegend kann die Beklagte als datenschutzrechtlich „Verantwortliche“ ihre Interessen an der streitgegenständlichen Werbemaßnahmen als „berechtigte Interessen“ im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO anführen. Es ist anerkannt und wird im Erwägungsgrund Nr. 47 zur Verordnung explizit benannt, dass auch wirtschaftliche Interessen, insbesondere das Vermitteln gewerblicher Informationen, ein berechtigtes Interesse im Sinne dieser Vorschrift sein können…“ und weiter
„…Die Beklagte hat (unbestritten) ein Interesse, ihre Bestandskunden durch postalische Werbung über Angebote zu informieren. Dabei begrenzen bereits die vergleichsweise hohen Kosten die Zahl entsprechender Werbemaßnahmen. Wie die Beklagte ihre Kunden auf andere Weise gleichermaßen wirksam und weniger belästigend informieren könnte, ist weder vorgetragen noch ersichtlich, so dass die Datenverarbeitung als erforderlich anzusehen ist.“
Die Klage wurde somit als unbegründet abgelehnt.
Die Tatsache, dass eine Kundin oder ein Kunde nur als Gast bestellt und für die Lieferung nicht ihre/seine private Adresse und E-Mailadresse angibt, sondern diese Daten nur für die Rechnungsstellung angibt, verhindert nicht, dass die Person als Bestandskund:in des Unternehmens gilt. Solange die Person keinen Werbewiderspruch abgibt, darf somit den Kund:innen an die gespeicherte Adresse oder E-Mailadresse postalische oder elektronische Werbung zugesandt werden.
Mehr dazu finden Sie hier: Landesrecht Hamburg
EuGH: Betriebsvereinbarungen müssen die Vorgaben der DSGVO einhalten
Der Europäischer Gerichtshof hat sich in einem Urteil vom 19. Dezember 2024 ( C 65/23) dazu geäußert, inwieweit Betriebsvereinbarungen die Anforderungen der DSGVO erfüllen müssen.
Ursprünglich verarbeitete die beklagte Gesellschaft bestimmte personenbezogene Daten ihrer Beschäftigten, insbesondere zu Abrechnungszwecken, im Rahmen der Nutzung einer „SAP“ Software und schloss hierzu mit ihrem Betriebsrat mehrere Betriebsvereinbarungen ab.
Der Konzern, zu dem die Beklagte des Ausgangsverfahrens gehört, führte konzernweit die cloudbasierte Software „Workday“ als einheitliches Personal‑Informationsmanagementsystem ein. In diesem Rahmen übertrug die Beklagte des verschiedene personenbezogene Daten ihrer Beschäftigten aus der SAP-Software auf einen Server der Muttergesellschaft des Konzerns mit Standort in den USA.
Die Beklagte und ihr Betriebsrat unterzeichneten eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“, die u. a. verbot, diese Software während des Testzeitraums für die Personalverwaltung, wie etwa die Bewertung von Arbeitnehmer:innen, zu verwenden. Gemäß Anhang 2 dieser Vereinbarung waren die einzigen Datenkategorien, die zur Befüllung der Software Workday übertragen werden durften, die Personalnummer des Arbeitnehmers im Konzern, sein Nachname, sein Vorname, seine Telefonnummer, sein Eintrittsdatum in die betroffene Gesellschaft, sein Eintrittsdatum in den D-Konzern, sein Arbeitsort, die Firma der betroffenen Gesellschaft sowie seine geschäftliche Telefonnummer und seine geschäftliche E‑Mail-Adresse.
In diesem Zusammenhang erhob der Kläger Klagen auf Zugang zu bestimmten Informationen, auf Löschung ihn betreffender Daten und auf Schadensersatz. Er machte u. a. geltend, dass die Beklagte des Ausgangsverfahrens ihn betreffende personenbezogene Daten auf den Server der Muttergesellschaft übertragen habe, von denen einige in der Duldungs-Betriebsvereinbarung nicht genannt seien, insbesondere seine privaten Kontaktdaten, seine Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer‑Identifikationsnummer, seine Staatsangehörigkeit und seinen Familienstand.
Da er nicht vollständig obsiegt hatte, legte der Kläger des Ausgangsverfahrens Revision beim Bundesarbeitsgericht, dem vorlegenden Gericht, ein.
Dieses legte dem EuGH in einem Vorabentscheidungsverfahren u.a. die vordringliche Frage vor:
Ob eine nationale Norm, wie § 26 Abs. 4 BDSG, die die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen regelt, nach den Anforderungen von Art. 88 Abs. 2 DSGVO zulässig sein muss, oder ob die betreffende Verarbeitung zu diesem Zweck auch mit den übrigen Bestimmungen dieser Verordnung vereinbar sein muss, also auch mit denen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO ergäben, insbesondere was das Kriterium der Erforderlichkeit der Verarbeitung angehe.
Der EuGH nahm zu allen 3 gestellten Fragen Stellung und entschied zusammengefasst:
- Betriebsvereinbarungen sollen keine Umgehung der Verpflichtungen der/des Verantwortlichen oder gar der Auftragsverarbeiterin oder des Auftragsverarbeiters bezwecken oder bewirken können. Nur so kann das Ziel der DSGVO, ein hohes Schutzniveau für Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis zu gewährleisten, erreicht werden.
- Betriebsvereinbarungen müssen die allgemeinen Anforderungen der Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1, 2 der DSGVO erfüllen. Insbesondere muss das Kriterium der Erforderlichkeit der Verarbeitung beachtet werden.
- Betriebsparteien haben einen eng umgrenzten Verhandlungsspielraum. Nur so wird gewährleistet, dass die Voraussetzung der Erforderlichkeit nicht zu sehr abgeschwächt wird oder sogar auf sie verzichtet wird.
- Insoweit gibt es auch eine umfassende gerichtliche Kontrolle dieser Vereinbarungen.
In Betriebsvereinbarungen ist also immer ein Augenmerk auf die Vorgaben der DSGVO zu legen. Insbesondere auch auf die Erforderlichkeit der Verarbeitung bestimmter Datenkategorien. Diese getroffenen Vereinbarungen dürfen in der praktischen Umsetzung und Anwendung nicht missachtet werden.
Mehr dazu finden Sie hier: CURIA – Documents
3. Das schreiben die Anderen zum Datenschutz
- Die Blacklist der Personalabteilung
- CCC: ePA für alle und datenschutzrechtliche Bedenken
- WhatsApp Channels: Wie können Unternehmen die neue Funktion…
Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.
Wir helfen Ihnen beim Datenschutz
Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.
Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.
Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden.
Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/
Ihre Ansprechperson

Dr. Sonja Detlefsen
Lesen Sie hier weiter:

Unsere DSGVO-Checkliste für IT-Unternehmen
Was muss Ihr IT-Unternehmen tun, um DSGVO-konform aufgestellt zu sein? Wir erklären es Ihnen!

E-Book: Der richtige Datenschutzbeauftragte für Ihr IT-Unternehmen
Viele IT-Unternehmen wissen nicht, welcher der richtige Datenschutzbeauftragte für sie ist. In diesem E-Book stellen wir alle Vor- und Nachteile bei der Wahl Ihres Datenschutzbeauftragten übersichtlich gegenüber. So finden Sie den richtigen Datenschutzbeauftragten für Ihr IT-Unternehmen.
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Was sind „EULA“, und wer braucht sie eigentlich?
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- AGB-Änderungen im laufenden Vertrag – Teil 1: Voraussetzungen