Im ersten Teil des Jahresrückblick 2024 haben wir bereits einen Blick auf die hervorzuhebenden Themen in den Monaten Januar bis Juni werfen können. Im Rahmen unseres heutigen Blog-Beitrages widmen wir uns nun den Monaten Juli bis Dezember.
Juli
Für eine kleine Überraschung sorgte im Juli der Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). Hinsichtlich der privaten Nutzung von dienstlichen E-Mail-Postfächern und Internetzugängen wurde bislang zu großen Teilen vertreten, dass es sich hierbei seitens des Arbeitgebers um ein Anbieten von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten handelt und somit das Fernmeldegeheimnis einschlägig ist. Die LDI NRW verkündete im Rahmen des Tätigkeitsberichtes eine Abkehr von der bisherigen Rechtsauffassung: „Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gehen deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich eine rechtliche Bewertung geändert hat […].“ Mit den Hintergründen haben wir uns im Rahmen eines Blog-Beitrages auseinandergesetzt.
Darüber hinaus sorgte der Crowdstrike-Vorfall – der vermeintlich größte IT-Ausfall aller Zeiten – für Aufsehen. Ursache für den Ausfall war ein fehlerhaftes Update des Herstellers Crowdstrike im Produkt Crowdstrike Falcon, einer weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte. Betroffen waren Organisationen in zahlreichen Branchen, darunter auch Betreiber Kritischer Infrastrukturen, das heißt Flughäfen, Krankenhäuser, Behörden und eine Vielzahl weiterer Organisationen. Medial viral gingen Bilder von sogenannten Bluescreens. Als Folge des Vorfalls wurden zwischenzeitlich viele Fragen rund um eine mögliche Haftung von Crowdstrike diskutiert. Eine Auseinandersetzung mit dieser Thematik erfolgte in unserem Blog-Beitrag „Der Crowdstrike-Vorfall und die Frage nach Verantwortung“.
Weniger überraschend hingegen fiel der zweite Bericht der Europäischen Kommission zur Evaluierung der Datenschutz-Grundverordnung (DS-GVO) aus: „Zwischen den Interessenträgern, den Datenschutzbehörden und den Mitgliedstaaten besteht weitgehend Einigkeit darüber, dass die DS-GVO trotz einiger Herausforderungen wichtige Ergebnisse für Einzelpersonen und Unternehmen gebracht hat. […] In den kommenden Jahren sollte der Schwerpunkt insbesondere darauf liegen, die Bemühungen der Interessenträger – vor allem kleine und mittlere Unternehmen (KMU), kleine Marktteilnehmer, Forscher und Forschungseinrichtungen – zu unterstützen, klarere und umsetzbarere Leitlinien der Datenschutzbehörden bereitzustellen und eine einheitlichere Auslegung und Durchsetzung der DSGVO in der gesamten EU zu erreichen.“ Wir dürfen gespannt sein, ob in den kommenden Jahren eine solche Vereinheitlichung gelingen wird.
August
Im August 2024 ist die weltweit erste umfassende Verordnung über Künstliche Intelligenz (KI) in Kraft getreten. Ziel dieser ist insbesondere die Gewährleistung eines Einsatzes vertrauenswürdiger und die Grundrechte der Menschen wahrenden KI. Bei der sogenannten KI-Verordnung (KI-VO, engl. AI Act) handelt es sich damit um keine Verordnung datenschutzrechtlichen Ursprungs, sondern um eine Regulation aus Sicht des Produktsicherheitsrechts. Gemäß Art. 2 Abs. 7 KI-VO gelten die Regelungen der KI-VO neben denen der Datenschutz-Grundverordnung, das heißt ergänzend zu dieser. Die spezifischen Anforderungen der Verordnung werden gemäß Art. 113 KI-VO in Abstufungen anwendbar. Welche Regelungen bereits ab Anfang 2025 gelten und wie sich die deutschen und europäischen Datenschutz-Aufsichtsbehörden bislang zum Thema KI positionieren, haben wir hier zusammengefasst.
Im Rahmen einer Pressemitteilung machte die Sächsische Datenschutz- und Transparenzbeauftragte auf das datenschutzkonforme Schwärzen von Dokumenten aufmerksam. Was zunächst trivial klingen mag, kann in der Praxis ernsthafte rechtliche Konsequenzen nach sich ziehen: „Wie die Aufsichtspraxis der Sächsischen Datenschutz- und Transparenzbeauftragten zeigt, unterlaufen Verantwortlichen beim Schwärzen gelegentlich Fehler. Dadurch können die Persönlichkeitsrechte der Betroffenen verletzt werden. Zudem ist der Verantwortliche in der Pflicht – sofern schützenswerte personenbezogene Daten offenbart werden – die Datenpanne gemäß Artikel 33 Datenschutz-Grundverordnung der zuständigen Aufsichtsbehörde zu melden.“ In unserem zugehörigen Blog-Beitrag geben wir einen entsprechenden Überblick.
September
Ende September stärkte der Europäische Gerichtshof (EuGH) mit einem Urteil die Rolle der Datenschutz-Aufsichtsbehörden bei der Durchsetzung der Datenschutz-Grundverordnung und gewährt insbesondere mehr Ermessensspielraum für das Tätigwerden dieser. Somit besteht seitens betroffener Personen grundsätzlich kein Anspruch auf das Tätigwerden oder gar auf das Ergreifen konkreter Maßnahmen. Ausgangspunkt des Verfahrens war eine Klage gegen den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI).
Oktober
Im Laufe des Oktobers legte der EuGH mit einer Reihe weiterer datenschutzrelevanter Entscheidungen nach. Wenig überraschend stärkt dieser mit seinen Entscheidungen die Position betroffener Personen und schafft für die rechtskonforme Verarbeitung personenbezogener Daten weitere konkrete Rahmenbedingungen: Im Rahmen der Rechtssache C-446/21 betonte der EuGH einerseits die Pflicht zur zeitlichen Beschränkung von Datenverarbeitungen und andererseits die enge Zweckbindung bei der Verarbeitung besonderer Kategorien personenbezogener Daten – jeweils im Kontext personalisierter Werbung.
In einem weiteren Verfahren (Rs. C-621/22) setzte sich der EuGH mit dem sogenannten berechtigten Interesse auseinander. Konkret ging es im vorliegenden Fall um die Weitergabe personenbezogener Daten von Mitgliedern eines Sportverbandes zu Werbezwecken an Sponsoren. Mit Verweis auf vorangegangene Urteile betonte der EuGH erneut, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen. Weiterhin müsse die Datenverarbeitung das mildeste Mittel zur Zweckerreichung darstellen und objektiv erforderlich sein. Kurze Zeit darauf veröffentliche auch der Europäische Datenschutzausschuss (EDSA) im Rahmen eines öffentlichen Konsultationsverfahrens entsprechende Leitlinien zur Anwendung des berechtigten Interesses.
Abschließend ist in dieser Reihe noch das Urteil des EuGH zur Rechtssache C-21/23 „Lindenapotheke“ anzuführen. Einerseits stellte der EuGH klar, dass die Regelungen der DS-GVO keine nationalen Rechtsvorschriften ausschließe, welche es Wettbewerbern ermögliche, gegen Datenschutzverletzungen von Dritten vorzugehen, selbst wenn sie selbst weder Betroffener, Verantwortlicher oder Auftragsverarbeiter sind. Andererseits entschied der EuGH, dass bei einem Kauf nicht verschreibungspflichtiger Arzneimittel über einen Online-Shop auch die Kundendaten in Form von Namen, Lieferadresse und Produktinformationen als Gesundheitsdaten gelten können. Insofern ist für die Praxis stets ein sehr weites Verständnis für besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Nr. 1 DS-GVO anzunehmen.
Aber auch das Oberlandesgericht (OLG) Dresden konnte im Oktober ein äußerst praxisrelevantes Urteil (Az. 4 U 940/24) präsentieren. Das OLG entschied unter anderem, dass dem datenschutzrechtlich Verantwortlichen gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrages eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten obliegt und, dass sich der Verantwortliche nicht auf einen Exzess des Auftragsverarbeiters (vgl. Art. 28 Abs. 10 DS-GVO) berufen kann, wenn er dieser Kontrollpflicht nicht nachgekommen ist. Die Einzelheiten des Urteils und eine rechtliche Einordnung haben wir im Rahmen unseres Blog-Beitrages vorgenommen.
Ebenfalls im Oktober tauchte der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt – Beschäftigtendatengesetz (BeschDG) auf. Mit Blick auf die Auflösung des Bundestages und die bevorstehenden Neuwahlen im Februar 2025 ist jedoch in naher Zukunft nicht mit einer Verabschiedung des Gesetzes zu rechnen. Auch unter Berücksichtigung inhaltlicher Aspekte ist bereits abzusehen, dass der vorliegende Gesetzesentwurf in dieser Form nicht verabschiedet werden wird.
November
Jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2024 erschien Mitte November und bietet einen Überblick über die aktuellen Bedrohungen im Cyberraum sowie die aktuellen Trends der Cyberkriminalität bezogen auf Deutschland. Das Ergebnis in der Kürze dürfte wohl niemanden überraschen: „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Unser Blog-Beitrag stellt einige ausgewählte Themen aus dem aktuellen Bericht dar.
Der Bundesgerichtshof (BGH) hat ebenfalls Mitte November (Az. VI ZR 10/24) über Ansprüche von betroffenen Personen im Zusammenhang mit sogenanntem „scraping“ (deutsch: „abschürfen“) entschieden. Nachdem im Rahmen von unterinstanzlichen Urteilen die Schadensersatzansprüche in der Regel verneint wurden, hat der BGH im Wege eines Leitentscheidungsverfahrens hiervon abweichend geurteilt. Die höchstrichterliche Entscheidung hat nun Einfluss auf unzählig ähnlich gelagerte Klagen, die derzeit an Landes- und Oberlandesgerichten in Deutschland anhängig sind. Auch wenn im konkreten Fall lediglich ein Schadensersatz in Höhe von 100 Euro als angemessen angesehen wurde, sollten die Auswirkungen dieser Entscheidung für die Praxis nicht unterschätzt werden, wie unserem Blog-Beitrag zu entnehmen ist.
Dezember
Nachdem der Cyber Resilience Act (CRA) bereits im Oktober 2024 verabschiedet wurde, ist dieser am 11. Dezember 2024 in Kraft getreten. Bei dem CRA handelt es sich um die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte vorschreibt, welche auf dem europäischen Markt erhältlich sind. Hierdurch soll die Cybersicherheit innerhalb der Europäischen Union nachhaltig gestärkt werden. Die wesentlichen Inhalte des CRA gelten jedoch erst im Laufe der Jahre 2026 und 2027 – die Zeit bis dahin sollte jedoch zur Umsetzung der gesetzlichen Anforderungen genutzt werden.
In der weihnachtlichen Vorfreude fast unbeachtet blieb zunächst das Urteil des EuGH zu Art. 88 DS-GVO (Rs. C-65/23). Dem Urteil zu entnehmen ist, dass die nationalen Vorschriften im Rahmen des Art. 88 DS-GVO zusätzlich zu den dort geregelten Anforderungen ebenfalls die allgemeinen Anforderungen der DS-GVO, insbesondere aus Art. 5, 6 und 9 DS-GVO berücksichtigen müssen. Weiterhin stellte der EuGH klar, dass Kollektivvereinbarungen, welche die Verarbeitungen personenbezogener Daten regeln, einer vollen gerichtlichen Kontrolle, insbesondere im Hinblick auf die Erforderlichkeit, unterfallen können.
Damit beenden wir unseren kleinen Jahresrückblick für das Jahr 2024 und sind auf die kommenden Entwicklungen im neuen Jahr gespannt. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als treue Leser:innen unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.
In diesem Sinne wünschen wir Ihnen nun einen guten und gesunden Start in das Jahr 2025!
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
