Der Beitrag blickt auf die datenschutzrechtlichen Entwicklungen des Jahres 2024 zurück und wagt einen Ausblick auf die Entwicklungen im Jahr 2025.
Das Jahr 2024 war aus datenschutzrechtlicher Sicht geprägt von wichtigen Entscheidungen des EuGH und des BGH sowie von weiterhin relevanten Top-Themen wie Künstlicher Intelligenz (KI). Gleichzeitig stehen mit dem neuen Jahr 2025 die Anwendbarkeit wichtiger Regelwerke wie dem Data Act und der KI-Verordnung (KI-VO) vor der Tür: Einige Normen der KI-VO gelten bereits ab Februar bzw. August 2025, ab dem 21. September 2025 findet dann der Data Act in weiten Teilen Anwendung.
KI weiterhin eines der Top-Themen – auch im Datenschutz
Erwartungsgemäß war das Thema KI auch aus datenschutzrechtlicher Sicht eines der Top-Themen des vergangenen Jahres. Die Datenschutzbehörden beschäftigten sich mit dem Einsatz von KI in Unternehmen und machen auf datenschutzrechtliche Fragestellungen in diesem Zusammenhang aufmerksam. So veröffentlichte beispielsweise die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in 2024 eine Orientierungshilfe „KI und Datenschutz“. Die Orientierungshilfe soll Unternehmen, Behörden und anderen Organisationen einen Leitfaden bei der Auswahl, Implementierung und Nutzung von KI-Anwendungen an die Hand geben. Erstmals nahm die DSK auch Stellung zu generativen KI-Modellen wie Large Language Modells (LLMs).
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Januar 2024 eine Checkliste zum Thema KI und Datenschutz („Datenschutzkonforme KI – Checkliste mit Prüfkriterien nach DSGVO„) veröffentlicht, die eine Hilfestellung bei der datenschutzkonformen Entwicklung und dem Einsatz von KI geben soll. Hierbei legt das BayLDA den Schwerpunkt auf das Training von KI-Modellen sowie auf die Risikobewertung vor dem Hintergrund der DSGVO. Seit Juli 2024 stellt außerdem der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) den Orientierungshilfen-Navigator KI & Datenschutz (ONKIDA) bereit, der einen Überblick über verschiedene Materialien zu KI und Datenschutz gibt. Zudem hat der Landesbeauftragte für den Datenschutz Niedersachsen in der Behörde eine Stabsstelle für KI eingerichtet, welche die Verbreitung und Nutzung von KI datenschutzrechtlich begleiten und den mit dem Datenschutzrecht im Einklang erfolgenden Einsatz von KI sicherstellen soll. Als Kompetenzzentrum soll die Stabstelle für Fragen zur Verfügung stehen und mit Behörden, Wissenschaft sowie mit privaten und öffentlichen Stellen zusammenarbeiten. Die Sensibilisierung der Einrichtungen für die mit dem Einsatz von KI im Zusammenhang stehenden Risiken sei eine weitere maßgebliche Aufgabe der Stabstelle.
Auch in Hamburg hat man sich mit dem Thema KI auseinander gesetzt: Im Juni 2024 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Positionspapier zum Thema Bewerberdatenschutz und Recruiting mit Bezug zu KI und Digitalisierung herausgegeben. Anlass für das Positionspapier war die Entscheidung des EuGH vom 30. März 2023 in der Rechtssache C-34/21 und die im Anschluss entfachte Diskussion um § 26 Abs. 1 BDSG. Der HmbBfDI weist darauf hin, dass im Bewerbungsprozess eine Vielzahl sensibler Daten anfalle. Außerdem gibt der HmbBfDI u.a. Hinweise für den Einsatz KI-basierter Systeme im Recruiting-Prozess. Der HmbBfDI stellte Mitte Juli 2024 zudem drei Thesen zum Personenbezug in Large Language Models (LLMs) auf:
- Die bloße Speicherung eines LLMs stelle mangels personenbezogener Daten keine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO dar. Erst bei Verarbeitung personenbezogener Daten in einem auf einem LLM basierenden KI-System sind die Verarbeitungsvorgänge und insb. deren Output an die Anforderungen der DSGVO anzupassen.
- Betroffenenrechte wie der Anspruch auf Auskunft, Löschung oder Berichtigung können sich auf den In- und Output eines KI-Systems beziehen, nicht auf das Modell selbst.
- Sofern LLMs mit personenbezogenen Daten trainiert werden, besteht die Pflicht der datenschutzkonformen Ausgestaltung und der Wahrung der Betroffenenrechte. Die Rechtmäßigkeit des Einsatzes eines LLMs in einem KI-System bleibt von datenschutzrechtlichen Verstößen im Rahmen des Trainings unberührt.
Weiteres zum Thema KI und Datenschutz erfahren Sie hier: KI-Nutzung und datenschutzrechtliche Verantwortlichkeit.
Geänderte Rechtsauffassung der LDI NRW zur privaten E-Mail- und Internet-Nutzung
Doch nicht nur das Thema KI hat die Datenschutzbehörden beschäftigt. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat mit dem in diesem Jahr vorgelegten Tätigkeitsbericht für das Jahr 2023 insb. mit einem Thema für datenschutzrechtliches Aufsehen gesorgt: Dem Bericht zufolge sieht die LDI NRW den Arbeitgeber, der seinen Arbeitnehmenden die private Nutzung von Internet und E-Mail am Arbeitsplatz gestattet oder diese duldet, entgegen der bisherigen Einordnung der Datenschutzbehörden als nicht an das Fernmeldegeheimnis gebunden an. In der Folge wäre dieser nicht möglicher Adressat des § 206 StGB. Die Behauptung, der Arbeitgeber könne sich bei Sichtung betrieblicher E-Mail-Postfächer wegen Verstoß gegen das Fernmeldegeheimnis strafbar machen, wird daher aufgegeben. Eine weitere Folge dieser Einschätzung wäre, dass der Arbeitgeber für einen Daten-Zugriff nicht mehr auf die Einwilligung des Arbeitnehmenden angewiesen sein dürfte. Hierfür würde dann ausschließlich die DSGVO gelten. Die LDI NRW empfiehlt, ausdrückliche Regelungen im Arbeitsverhältnis zu treffen.
Enforcement Tracking: DSGVO-Bußgelder im Jahr 2024
Ein datenschutzrechtlicher Dauerbrenner sind jedes Jahr wieder die DSGVO-Bußgelder, die sich auf bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes eines Unternehmens belaufen können. Laut der neuesten Ausgabe unseres Enforcement Tracker Reports wurden im untersuchten Zeitraum insgesamt 2.086 Bußgelder verhängt und im CMS Enforcement Tracker erfasst. Die Gesamtbußgelder belaufen sich auf rund EUR 4,48 Mrd., während das durchschnittliche Bußgeld länderübergreifend bei ca. EUR 2,14 Mio. lag.
Das Thema DSGVO-Bußgelder beschäftigt außerdem weiterhin die Gerichte. Nachdem der EuGH mit Urteil vom 5. Dezember 2023 (C-807/21) entscheiden hat, dass die in Art. 83 DSGVO vorgesehenen Geldbußen unmittelbar gegen juristische Personen verhängt werden können, sofern diese als für die Datenverarbeitung Verantwortliche einzustufen seien, hat der mit der Sache befasste 3. Senat für Bußgeldsachen des Kammergerichts Berlin das Bußgeld-Verfahren mit Beschluss vom 22. Januar 2024 an das LG zurückverwiesen. In diesem Verfahren geht es um ein DSGVO-Bußgeld in Höhe von EUR 14,5 Mio. und die Frage, ob die Adressatin des Bescheids dieses zahlen muss.
Neues vom EuGH zur DSGVO
Der EuGH hat im Jahr 2024 gleich eine ganze Reihe für den Datenschutz relevanter Urteile veröffentlicht. Unter anderem am 11. Juli 2024 hat der EuGH in der Rechtssache C-757/22 sein Urteil gefällt. In derselben Sache hatte der EuGH bereits im Frühling 2022 (C-319/20) entschieden, dass eine Klage von Verbraucherschutzverbänden auch dann zulässig sei, wenn kein konkreter Auftrag eines Verbrauchers vorliege. Der BGH legte dem EuGH gegen Ende des Jahres 2022 mit Beschluss vom 10. November 2022 (I ZR 186/17) allerdings erneut eine Frage vor, die sich dieses Mal um die Voraussetzung „infolge einer Verarbeitung“ des Art. 80 Abs. 2 DSGVO dreht. Hierzu wollte der BGH wissen, ob eine Rechtsverletzung „infolge einer Verarbeitung“ geltend gemacht wird, wenn ein Verbraucherschutzverband eine Klage darauf stützt, die Rechte einer betroffenen Person seien durch nicht Erfüllung der Pflichten aus Art. 12 Abs. 1 S. 1 und Art. 13 Abs. 1 lit. c) und e) DSGVO verletzt. Der EuGH kommt zu dem Ergebnis, dass Verbraucherschutzverbände die Verletzung von diesen Informationspflichten klageweise geltend machen können. Der BGH hat hierzu am 19. Dezember 2024 verhandelt und wird seine Entscheidung am 27. März 2025 verkünden.
Auch in der Rechtssache C‑21/23 verkündete der EuGH im Oktober 2024 sein Urteil zur Klagebefugnis von Wettbewerbern bei DSGVO-Verstößen. In diesem Verfahren geht es u.a. um die Frage, ob datenschutzrechtliche Verstöße durch Konkurrenten des nach der DSGVO Verantwortlichen über die Vorschriften des UWG statt durch betroffene Personen als Klagebefugte geltend gemacht werden können. Hierzu hat der Gerichtshof entschieden, dass die EU-Mitgliedstaaten Mitbewerbern eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Möglichkeit einräumen können, diesen Verstoß als verbotene unlautere Geschäftspraxis gerichtlich zu beanstanden. Geklagt hatte jeweils ein Wettbewerber eines Apothekers mit Versandhandelserlaubnis, da dieser nach dessen Ansicht gegen die DSGVO verstoße. Der EuGH bejahte zudem die Frage, ob bei einer Bestellung von nicht verschreibungs-, aber apothekenpflichtigen Arzneimitteln über eine Online-Plattform Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO übermittelt werden.
Zu der maßgeblichen datenschutzrechtlichen Schadensersatznorm des Art. 82 DSGVO hat der EuGH im Jahr 2024 gleich mehrere Entscheidungen in Vorlageverfahren getroffen. Hierüber geben wir in unserem Blog einen Überblick: Neues vom EuGH zum DSGVO-Schadensersatz.
BGH entscheidet zu Art. 82 DSGVO
Doch nicht nur den EuGH hat das Thema DSGVO-Schadensersatz im vergangenen Jahr beschäftigt. Zunächst hatten die Amts-, Landes- und Oberlandesgerichte in einer Vielzahl von Verfahren über Klagen auf Schadensersatz nach Art. 82 DSGVO zu entscheiden, von denen die meisten abgewiesen wurden, insb. ging es in diesem Jahr um die Weitergabe von Positivdaten durch Telekommunikationsunternehmen an eine Auskunftei sowie um die sog. Social Media Scraping-Fälle. Eine tabellarische Übersicht über die Rechtsprechung zu Art. 82 DSGVO finden Sie in unserem Blog: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert).
Eines der Scraping-Verfahren wurde zum ersten Leitentscheidungsverfahren des BGH. Mit Urteil vom 18. November 2024 hat sich der BGH erstmals zu zentralen Fragen des Schadenersatzanspruchs nach Art. 82 DSGVO geäußert. Unter Verweis auf die Rechtsprechung des EuGH führt der BGH aus, dass schon ein bloßer und kurzzeitiger Verlust der Kontrolle über personenbezogene Daten infolge eines DSGVO-Verstoßes ein immaterieller Schaden sein könne. Für den Schadensersatzanspruch müsse der Betroffene weder eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen noch sonstige zusätzliche spürbarer negative Folgen nachweisen. Hinsichtlich der Schadenshöhe könne dem BGH zufolge ein Betrag von EUR 100 angesetzt werden. Hierzu bleibt abzuwarten, wie die zuständigen Gerichte mit der BGH-Entscheidung umgehen werden. Das OLG Hamm hat bereits in mehreren Verfahren die Klagen der Betroffenen trotzdem abgewiesen (Urteil vom 29. November 2024 – 25 U 25/24; Urteil vom 26. November 2024 – 25 U 12/24 u.a.), während das OLG Dresden in Umsetzung der BGH-Vorgaben einen Schadensersatz in Höhe von EUR 100 zugesprochen hat (Urteil vom 10. Dezember 2024 – 4 U 808/24). Im Bereich Datenschutz kann daher eine Zunahme der Verbraucherklagen zu erwarten sein. Mehr dazu erfahren Sie auch in unserem Podcast CMS To Go: Litigation Matters: BGH zum DSGVO-Schadenersatz in Sachen Scraping – Rückenwind für Einzel- und Sammelklagen? | CMS To Go. Doch nicht nur das Thema DSGVO-Schadenersatz wird im Jahr 2025 weiter an Bedeutung gewinnen.
EDPB: Strategie für die kommenden Jahre und koordinierte Aktion 2025
Auch der Europäische Datenschutzausschuss (EDPB) blickt in die Zukunft und hat im April 2024 seine Strategie für die Jahre 2024 bis 2027 angenommen. In dieser werden die Prioritäten sowie die jeweils wichtigsten Maßnahmen zur Erreichung der gesteckten Ziele erläutert. Dabei handelt es sich um die Verbesserung der Harmonisierung und Förderung der Einhaltung der datenschutzrechtlichen Vorschriften, die Stärkung einer gemeinsamen Durchsetzungskultur und einer wirksamen Zusammenarbeit, die Gewährleistung des Datenschutzes in einer sich entwickelnden digitalen und regulierungsübergreifenden Landschaft sowie um einen Beitrag zum globalen Dialog über den Datenschutz. Als drei der Top-Themen identifiziert der EDPB dabei die Plattform-Regulierung durch den Digital Markets Act (DMA) und den Digital Services Act (DSA) sowie die Verbreitung von KI.
Der EDPB hat im Oktober 2024 außerdem das Thema für die nächste koordinierte Aktion der Datenschutzbehörden bekannt gegeben. Im Jahr 2025 wird sich diese auf die Umsetzung des sog. „Rechts auf Vergessenwerden“, also auf die Löschung gemäß Art. 17 DSGVO durch die für die Verarbeitung Verantwortlichen konzentrieren. Im Rahmen der Aktion sollen die von den Verantwortlichen eingerichteten Prozesse analysiert und verglichen werden. Hierdurch sollen die wichtigsten Probleme bei der Einhaltung des Rechts identifiziert und um ein Überblick über Best Practices gewonnen werden. Die Aktion wird im ersten Halbjahr 2025 starten. Im Vorjahr war das Auskunftsrecht aus Art. 15 DSGVO einer der Schwerpunkte der koordinierten Aktionen der Aufsichtsbehörden.
In dem bevorstehenden Jahr 2025 werden nicht nur die genannten und bekannten Themen für den Datenschutz relevant. Zudem gilt es, die Auswirkungen des Wahlergebnisses in den USA auch auf datenschutzrechtliche Themen wie den US-Angemessenheitsbeschluss sowie die Entwicklungen des Datenschutzes in Deutschland in der nächsten Legislaturperiode (Stichwort Beschäftigtendatengesetz) im Blick zu behalten. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat im Dezember 2024 eine datenschutzpolitische Agenda für die 21. Legislaturperiode vorgelegt. Hierbei setzt sie die Schwerpunkte u.a. bei der Rechtssicherheit für das Training und dem Einsatz von KI-Systemen, der Digitalisierung im Gesundheitswesen sowie beim Thema Cyber-Sicherheit.
Die Zukunft wird geprägt sein von der Vernetzung aktueller Themen wie KI, Virtuellen Welten, Datennutzung und Daten(schutz)recht. Auch das Jahr 2025 bleibt diesbzgl. spannend. Bleiben Sie mit unserem Blog und unserem Newsletter auf dem Laufenden.