#Datenschutz #Urteile

28.03.2025

Ein (Holz-)Hammer vor Büchern

Der Fall: Datenleck durch unterlassene Löschung

Ein Kunde einer Musikstreaming-Plattform wurde Opfer eines Datenlecks. Seine personenbezogenen Daten, die er Jahre zuvor übermittelt hatte, wurden von einem externen Auftragsverarbeiter des Anbieters entgegen der Vereinbarung nicht gelöscht. Hacker erbeuteten diese Daten schließlich lange nach Ende der eigentlichen Vertragslaufzeit.

Die Argumentation der Parteien

  • Der Streaming-Anbieter bestritt die Haftung mit dem Argument, dass er nach Beendigung des Auftragsverhältnisses keine faktische Möglichkeit mehr gehabt habe, die IT-Systeme des Dienstleisters zu kontrollieren.

  • Der Kläger sah hierin eine Verletzung der Aufsichtspflichten gemäß DSGVO.

Das Urteil des OLG Dresden

Das Gericht stellte sich auf die Seite des Datenschutzes und erkannte einen klaren Pflichtverstoß des Streaming-Anbieters an:

  • Kontrollpflicht bleibt bestehen: Unternehmen dürfen sich nicht darauf verlassen, dass Dienstleister Daten eigenständig löschen. Sie müssen die Löschung aktiv prüfen und durchsetzen.

  • Vertragliche Versäumnisse: Da eine Löschbestätigung vertraglich vereinbart war, hätte der Anbieter deren Eingang überwachen müssen. Das Unterlassen dieser Kontrolle wurde als schuldhaftes Versäumnis gewertet.

Das Ergebnis: Kein Schadensersatz ohne Schadensnachweis

Trotz des festgestellten Verstoßes ging der Kläger leer aus. Das Gericht entschied, dass ein bloßer Verstoß gegen die DSGVO oder das „ungute Gefühl“, dass Daten im Umlauf sind, nicht automatisch zu einem Entschädigungsanspruch führt. Da der Kläger einen konkreten, messbaren Schaden (sei es materiell oder immateriell) nicht hinreichend nachweisen konnte, wurde die Klage auf Schadensersatz abgewiesen.

Wichtige Erkenntnis für Unternehmen: Dieses Urteil ist eine Warnung an alle "Verantwortlichen" (Controller): Ein Vertrag zur Auftragsverarbeitung (AVV) schützt nur dann vor Bußgeldern und Haftung, wenn die darin vereinbarten Löschkonzepte auch tatsächlich überprüft werden.

(Quelle: Urteil des Oberlandesgerichts Dresden vom 15. Oktober 2024, Az.: 4 U 940/24)

Abmahnungen durch Konkurrenten bei DSGVO-Verstößen zulässig

Ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) hat klargestellt, dass Unternehmen ihre Mitbewerber wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) abmahnen dürfen.

Der Hintergrund des Verfahrens: Auslöser war der Rechtsstreit eines Apothekers in Deutschland, der gegen einen Konkurrenten vorgehen wollte. Der deutsche Bundesgerichtshof (BGH) legte den Fall dem EuGH zur Vorabentscheidung vor. Es galt zu klären, ob die DSGVO abschließend regelt, wer Verstöße verfolgen darf (z. B. nur Behörden und Verbände), oder ob nationale Regelungen – wie das deutsche Gesetz gegen den unlauteren Wettbewerb (UWG) – weiterhin Abmahnungen unter Konkurrenten erlauben dürfen.

Das Urteil des EuGH: Die Richter in Luxemburg entschieden, dass die DSGVO einer nationalen Regelung nicht entgegensteht, die es Mitbewerbern erlaubt, Verstöße gegen den Datenschutz als Wettbewerbsverstoß zu rügen. Damit ist der Weg für wettbewerbsrechtliche Abmahnungen bei Datenschutzvergehen offiziell geebnet.

Reaktionen und Folgen: Das Urteil löste in der deutschen Wirtschaft und unter Datenschutzexperten erhebliche Besorgnis aus:

  • Gefahr einer Abmahnwelle: Es wird befürchtet, dass Unternehmen den Datenschutz als strategisches Instrument nutzen könnten, um unliebsame Konkurrenten durch kostenpflichtige Abmahnungen und Unterlassungserklärungen unter Druck zu setzen.

  • Wettbewerbsdruck: Datenschutzeinhaltung wird damit noch stärker zu einem harten Wettbewerbsfaktor, da Unternehmen nun nicht mehr „nur“ die Aufsichtsbehörden, sondern auch ihre direkte Konkurrenz fürchten müssen.

Zusammenfassende Erkenntnis

Mit dieser Entscheidung ist klargestellt, dass Datenschutzregeln gleichzeitig Marktverhaltensregeln sind. Unternehmen müssen ihre Compliance-Prozesse nun doppelt absichern, um keine Angriffsfläche für wettbewerbsrechtliche Schritte der Konkurrenz zu bieten.

(Quelle: Urteil des Europäischen Gerichtshofs vom 4. Oktober 2024, Az.: C-21/23)

Datenschutz und die Schufa

1. Das Verbot des automatisierten Scorings (Art. 22 DSGVO)

Der EuGH befasste sich mit der Frage, ob die Berechnung eines Bonitäts-Scores bereits eine „automatisierte Entscheidung im Einzelfall“ darstellt, die laut DSGVO grundsätzlich verboten ist.

  • Das Urteil: Wenn ein Schufa-Score eine „maßgebliche Rolle“ bei der Kreditvergabe durch eine Bank spielt (was in der Praxis fast immer der Fall ist), handelt es sich um eine unzulässige automatisierte Entscheidung nach Art. 22 Abs. 1 DSGVO.

  • Die Konsequenz: Die Schufa darf solche Scores nur dann erstellen, wenn eine klare nationale Rechtsgrundlage besteht, die den europäischen Vorgaben entspricht. Banken dürfen ihre Entscheidung nicht allein oder überwiegend auf diesen Wert stützen, ohne dass eine menschliche Einzelfallprüfung stattfindet.

2. Speicherfristen bei Restschuldbefreiung (Art. 6 DSGVO)

Im zweiten Fall ging es um die Speicherung von Informationen über eine erfolgreich abgeschlossene Privatinsolvenz (Restschuldbefreiung).

  • Der Konflikt: Während öffentliche Register diese Information nach sechs Monaten löschen, speicherte die Schufa diese Daten bislang deutlich länger (meist drei Jahre), was die wirtschaftliche Wiedereingliederung der Betroffenen massiv erschwerte.

  • Das Urteil: Der EuGH stellte klar, dass eine Speicherung über die Frist des öffentlichen Registers hinaus nur zulässig ist, wenn eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt. Ein pauschales „berechtigtes Interesse“ der Auskunftei reicht hierfür nicht aus, sobald die staatliche Speicherfrist abgelaufen ist.

Hintergrund und Herkunft des Verfahrens

Das Verfahren landete vor dem EuGH, nachdem sich Betroffene beim Verwaltungsgericht Wiesbaden gegen den hessischen Datenschutzbeauftragten gewehrt hatten. Dieser hatte zuvor keine Einwände gegen die Schufa-Praktiken erhoben und Beschwerden der Bürger abgewiesen. Der EuGH korrigierte diese Auffassung und verpflichtete die Datenschutzbehörden zu einem aktiveren Einschreiten.

Fazit: Die Schufa muss ihr Geschäftsmodell anpassen. Der „gläserne Kunde“, dessen Schicksal allein von einem Algorithmus abhängt, wurde durch die Luxemburger Richter gestoppt.

Quelle: (Urteile des Europäischen Gerichtshofs vom 7. Dezember 2023, Az.: C-634/21 / C-26/22 und C-64/22)

 

Zusammenfassung von KI wie Gemini erstellt, redaktionell überarbeitet von www.b-in.de 

Zurück


Zurück
empty