Jahresrückblick 2024: Wichtige Datenschutz-Urteile und ihre Auswirkungen

Datenschutz Urteile 2024

Einführung

Willkommen zu unserem „Jahresrückblick 2024: Wichtige Datenschutz-Urteile und ihre Auswirkungen“. In diesem spannenden Jahr der Datenschutzlandschaft hat es rechtliche Durchbrüche und wegweisende Urteile gegeben, die das Datenschutzmanagement und insbesondere die Risikobewertung für Unternehmen maßgeblich beeinflussen werden. Es ist essenziell, dass Sie sich als Verantwortlicher in Ihrer Organisation über diese Veränderungen und Urteile informieren. Sie müssen die Auswirkungen und Anforderungen für Ihr Unternehmen verstehen und entsprechende Anpassungen vornehmen, um eine DSGVO-konforme Datenverarbeitung zu gewährleisten und möglichen Strafen zu entgehen.

Inhaltsverzeichnis

Dieser Jahresrückblick hat zum Ziel, Sie über die wichtigsten Datenschutz-Urteile des Jahres 2024 zu informieren, deren Auswirkungen zu analysieren und Ihnen praxisorientierte Lösungen und Tipps anzubieten. So können Sie sicherstellen, dass Ihr Unternehmen auch in Zukunft den hohen Standards des Datenschutzes entspricht. Bleiben Sie immer aktuell und verringern Sie Ihr Risiko, in eine Datenschutzfalle zu tappen.

Wichtige Urteile aus 2024

Schadensersatz oder kein Schadensersatz, das ist hier die Frage

Der Bundesgerichtshof (BGH) sein neues Recht auf Leitentscheidungen wahrgenommen. Hierüber kann der BGH Revisionsverfahren bestimmen, die grundsätzliche Rechtsfragen aufwerfen und maßgeblich für weiter Verfahren sein können. In seinem Urteil (VI ZR 10/24) hat der BGH entschieden, dass ein immaterieller Schaden im Sinne der DSGVO bereits vorliegt, wenn durch einen Verstoß der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten vorliegt. Betroffene Personen müssen dabei nicht nachweisen, dass es zu einer missbräuchlichen Verwendung ihrer Daten gekommen ist. Jedoch stellt der BGH auch klar, dass sich ein hieraus ergebender Schadensersatz keine überhöhten Forderungen begründet und bemisst 100 Euro als angemessen.

Dem steht auch nicht das Urteil (C‑200/23) des Europäischen Gerichtshofs (EuGH) entgegen, welches ebenso festlegt, dass ein zeitlich begrenzter Verlust der Kontrolle über die eigenen personenbezogenen Daten einen immateriellen Schaden darstellen kann. Jedoch sieht der EuGH weiterhin eine Nachweispflicht der betroffenen Personen, dass diese tatsächlich einen Schaden erlitten hat. Der EuGH sieht hierbei die Angst und Sorge vor einem Missbrauch der betroffenen Daten als so einen Schaden an, auch wenn dieser als geringfügig zu bewerten ist.

Auswirkung:

Auch wenn die Urteile weitgehende deckungsgleich sind, können Feinheiten über das bestehen eines Schadensersatzes entscheiden. Jedoch sind dies Urteile wegweisend und erhöhen die Risiken für Unternehmen weitrechend. Auch wenn 100 Euro nicht als erhebliche Summe angesehen werden, kann durch die Vielzahl betroffener Personen einer Datenverarbeitung schnelle auch höhere Summen an Schadensersatzforderungen entstehen. Daher ist es umso wichtiger, Datenverarbeitungen abzusichern und vor einem Vertraulichkeitsverlust abzusichern. Hierbei sollten nicht einzelne Maßnahmen, sondern eine Vielzahl sich gegenseitig absichern Schutzmaßnahmen getroffen werden.

Zugriffsrecht der Polizei auf Smartphonedaten

Der EuGH hat entschieden (C-548/21), dass der Zugriff der Polizei auf personenbezogene Daten auf Mobiltelefonen nicht ausschließlich auf die Bekämpfung schwerer Kriminalität beschränkt sein darf. Allerdings muss dieser Zugriff durch ein Gericht oder eine unabhängige Behörde genehmigt werden und verhältnismäßig sein. Der Fall betraf die österreichische Polizei, die ohne Genehmigung versuchte, ein Mobiltelefon zu entsperren, nachdem sie Rauschmittel bei einer Person gefunden hatte. Der EuGH stellte klar, dass der Zugriff auf Mobiltelefondaten als schwerwiegender Eingriff in die Grundrechte betrachtet werden kann und dass klare gesetzliche Regelungen für die Zugriffe erforderlich sind. Jedoch dürfe hierdurch nicht eine erhöhte Gefahr der Straflosigkeit von verbotenen Handlungen bestehen.

Sammlung, Zusammenführung und Auswertung von Daten für Werbezwecke

Der Datenschutzaktivist Maximilian Schrems hat erneut gegen Meta (Facebook) vor dem EuGH geklagt (C‑446/21). Es ging um die Nutzung personenbezogener Daten, insbesondere zur sexuellen Orientierung, für personalisierte Werbung. Herr Schrems gab an, häufig gezielte Werbung zu seiner sexuellen Orientierung zu erhalten und führte dies auf die Analyse seiner Interessen und personenbezogen Daten durch Meta zurück.

  • Kernaussagen des EuGH:
    • Datenminimierung: Die DSGVO verlangt, dass personenbezogene Daten nicht unbegrenzt und ohne Unterscheidung für zielgerichtete Werbung verarbeitet werden dürfen.
    • Öffentliche Äußerungen: Wenn jemand seine sexuelle Orientierung öffentlich teilt, dürfen diese Daten zwar verarbeitet werden, aber nicht in Kombination mit anderen gesammelten Informationen.
    • Herleitung von Daten mit Daten von Dritten: Durch die Kombination mit Daten, die über Dritte erlangt werden, dürfen keine Herleitung zu besonderen personenbezogenen Daten zum Zweck der personalisierten Werbung erfolgen.
  • Folgen für Meta: Meta darf nur einen kleinen Teil des Datenpools für Werbung nutzen. Insbesondere muss Meta die Daten gezielter nach den Zwecken unterscheiden für die sie verarbeitet, kombiniert oder analysiert werden.

Auswirkung:

Viele Marketingmaßnahmen für personalisierte Werbung zielen darauf ab, weitreichende Informationen über die betroffenen Personen zu erhalten. Oft sollen hierbei nicht nur eigenen Daten verwendet werden, sondern auch Daten anderer Partner, Social Media Anbieter oder Datenhändler angebunden werden. Zur Berücksichtigung des Urteils sollte genau geprüft werden, für welche Produkte oder Dienste eine Werbemaßnahme erfolgt und für welche Zwecke die Daten ursprünglicher erhoben wurden. Zur Bewertung der Angemessenheit einer Kombination und Aggregierung von Daten sollten Sie einen Datenschutzexperten hinzuziehen.

Grenzen von Kollektivvereinbarungen

Mit der Art. 88 der DSGVO hat der Gesetzgeber eine Ausnahme ermöglicht, über Kollektivvereinbarungen (z.B. Betriebs- und Dienstvereinbarungen oder Tarifverträge) separate Regulierung zum Umgang mit personenbezogen Daten zu schaffen. Dieses Recht wurde häufig sehr weit ausgelegt. Der EuGH hat in seinem Urteil (C-65/23) festgestellt, dass Kollektivvereinbarungen zwar eigene Regelungen zum Datenschutz treffen können, diese jedoch die maßgeblichen Grundsätze zur Datenverarbeitung, insbesondere die Reglungen aus Art. 5, 6 und 9 berücksichtigen müssen.

Auswirkung:

Unternehmen sollten insbesondere ihre Betriebs- und Dienstvereinbarungen prüfen, welche Reglungen zum Umgang mit personenbezogenen Daten beinhalten, ob diese auch die Grundsätze zur Rechtmäßigkeit, Transparenz, Datenminimierung, Speicherbegrenzung etc. berücksichtigen. Dies kann bspw. Regelungen zur privaten Nutzung oder zur Telearbeit/Home Office betreffen. Aber auch Vereinbarungen zur Zeiterfassung oder Urlaubsbeantragung können betroffenen sein, um so mehr, wenn eine elektronische Erfassung erfolgt.

Überwachung von Beschäftigten mittels Detektiv

Das Bundesarbeitsgericht (BAG) hatte über einen Fall zu entscheiden, ob Arbeitgeber ihre Arbeitnehmer mit Hilfe eines Detektivs heimlich überwachen dürfen. In diesem Fall bestand der Verdacht, dass eine Arbeitsunfähigkeit vorgetäuscht wird. Das BAG hat in seinem Urteil (Az. 8 AZR 225/23) festgestellt, dass die Erfassung des Gesundheitszustands durch den Detektiv eine Verarbeitung besonderer personenbezogener Daten nach Art. 9 DSGVO darstellt und die weitergehenden Schutzanforderung eine Datenverarbeitung zu berücksichtigen sind. Der Einsatz eines Detektivs zur heimlichen Überwachung wurde als unangemessen bewertet. Der Arbeitgeber hat die Pflicht, vorab mögliche mildere Mittel zu prüfen und umzusetzen. Insbesondere eine persönliche Anhörung des Beschäftigten wurde hier eingefordert. Dem Beschäftigten wurde ein Schadensersatz in Höhe von 1.500 Euro zugesprochen.

Was die Urteile für Unternehmen bedeuten

Die Auswirkungen der Datenschutz-Urteile von 2024 auf Unternehmen sind vielfältig und komplex. Sie reichen von geänderten rechtlichen Anforderungen bis hin zur Notwendigkeit, Geschäfts- und Technologiepraktiken anzupassen. Verschaffen Sie sich einen Überblick über die Konsequenzen und wie Sie diese effektiv bewältigen können.

Praxisnahe Lösungen und Tipps

Die Anpassung an die neuen Datenschutzgesetze ist eine Herausforderung, aber mit den richtigen Strategien und Werkzeugen können Sie dieses Ziel erreichen. Hier sind einige konkrete Lösungsansätze und Best Practices, die Sie bei dieser Aufgabe unterstützen können:

  • Datenschutz-By-Design: Integrieren Sie den Datenschutz von Anfang an in alle Ihre Geschäfts- und Technologiepraktiken. Dies bedeutet, Datenschutzmaßnahmen bei der Entwicklung neuer Produkte, Dienstleistungen oder Prozesse bereits in der Planungsphase zu berücksichtigen.
  • Investition in Technologie: Nutzen Sie Datenschutztechnologien wie Verschlüsselung und Anonymisierung, um die Sicherheit personenbezogener Daten zu erhöhen. Aber Technologien wir Zero-Trust und Data leak prevention um einen Datenverlust zu vermeiden. Wichtig ist hierbei die Kombination verschiedener Maßnahmen, um eine gegenseitige Absicherung zu erreichen.
  • Transparenz und Kommunikation: Informieren Sie Ihre Kunden proaktiv über Ihre Datenschutzpraktiken und bauen Sie Vertrauen durch Transparenz auf.

Durch die Anwendung dieser Maßnahmen kann Ihr Unternehmen den neuen datenschutzrechtlichen Anforderungen gerecht werden und den Schutz personenbezogener Daten auch unter Berücksichtigung der Datenschutz-Urteile 2024 sicherstellen.

Haben Sie Fragen?

Sie haben Fragen zu unserem Artikel oder benötigen Unterstützung bei der Durchführung einer Interessenabwägung? Nehmen Sie einfach Kontakt mit uns auf. Wir helfen Ihnen gerne weiter.

Kontakt aufnehmen

Ihr Partner für Datenschutz!

Lassen Sie uns gemeinsam Ihre Datenschutzlösungen umsetzen – effizient, sicher und individuell. Kontaktieren Sie uns jetzt für Ihre erste Beratung!

Kontakt aufnehmen