|
| |
Liebe Abonnentinnen und Abonnenten,
heute erhalten Sie den de lege data Newsletter 1/2026. Ich wünsche Ihnen ein gutes Wochenende!
|
|
|
| |
Aktuelle Beiträge im Blog
|
|
|
| |
|
EDSA: Keine (zwingende) Pflicht zur Löschung in Backups – aber nach Restore zwingend umzusetzen
|
|
Verwaltungsgericht: Einmal Auskunftsanspruch, bitte – Fristbeginn, anwaltliche Vollmacht, zeitlicher Umfang
|
|
|
|
|
|
| |
|
Was ist ein „Vertrag“ nach Art. 6 Abs. 1 b) DSGVO? BGH mit neuer Entscheidung und gegen die Auffassung des EDSA
|
|
Oberverwaltungsgericht: Das Recht zur Datenschutzbeschwerde erlischt mit dem Tod der betroffenen Person – kein Übergang auf die Erben
|
|
|
|
|
|
| |
Wann muss man Angaben in der Datenschutzerklärung aktualisieren?
Die Bereitstellung von Informationen zu Datenverarbeitungen nach Art. 13 und 14 DSGVO gehört zu den wichtigsten Pflichten des Verantwortlichen. Obwohl die DSGVO keine konkreten Vorgaben dazu enthält, wie oft und in welchen Fällen die Datenschutzhinweise zu aktualisieren sind (oder auch nicht), folgt aus Art. 13 und 14 DSGVO, dass die Informationen einen Überblick über die tatsächlich stattfindenden Datenverarbeitungen enthalten müssen. Der Verantwortliche ist daher verpflichtet, die Datenschutzhinweise stets aktuell zu halten. Dies ergibt sich auch aus dem Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO. Bildet das Dokument nicht die Ist-Lage ab, wird also ungenügend informiert, liegt ein Verstoß gegen die Informationspflichten der DSGVO vor. Darüber hinaus ist die Bereitstellung aktueller Informationen für die Mitteilung der berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO und damit für die Rechtmäßigkeit der Datenverarbeitung relevant (siehe hierzu den unten verlinkten Newsletter der BlnBDI).
Wie oft die Datenschutzhinweise zu aktualisieren sind, hängt maßgeblich davon ab, wann neue Datenverarbeitungen hinzukommen und/oder sich etwa die Zwecke ändern. Werden beispielsweise neue Softwareanwendungen eingeführt, mit denen personenbezogene Daten der Kunden verarbeitet werden, sind die Datenschutzhinweise entsprechend zu aktualisieren, idealerweise kurz bevor die Software in Betrieb genommen wird.
Über wichtige Aktualisierungen der Datenschutzhinweise sind die betroffenen Personen unverzüglich zu informieren, etwa per E-Mail, Brief, Pop-up oder über andere geeignete Kanäle. Nach Ansicht der Art.-29-Datenschutzgruppe (siehe Link unten) sollte die Mitteilung auch eine kurze Zusammenfassung der Änderungen enthalten. Ob eine Informationspflicht besteht, richtet sich nach den Auswirkungen auf die betroffene Person. Betreffen die Änderungen wesentliche Aspekte der Datenverarbeitungen (bspw. Verarbeitungszwecke oder Identität des Verantwortlichen), muss eine Mitteilung erfolgen. Reine Korrekturen oder stilistische Anpassungen sind dagegen grundsätzlich nicht mitteilungspflichtig.
Newsletter der BlnBDI: https://secure.dialog-mail.de/y/zgsL5GMu3H/MYgYVfSfcj
Art. 29 Datenschutzgruppe, Leitlinien für Transparenz: https://www.datenschutzkonferenz-online.de/media/wp/20180411_wp260_rev01.docx
|
|
|
|
| |
Nicht alles ist Art. 26 DSGVO – Verantwortlichkeit im Lettershop-Verfahren
Mit Urteil vom 14. Oktober 2025 hat das VG Berlin (Az. 1 K 74/24) entschieden, dass ein Unternehmen und eine Adresshändlerin, die im Lettershop-Verfahren Werbebriefe an potenzielle Kunden versendet, keine gemeinsam Verantwortlichen im Sinne von Art. 26 DSGVO sind. Die Auswahl der Empfänger erfolgte in diesem Fall auf Grundlage zuvor vereinbarter Kriterien. Nach einer Beschwerde hatte die Aufsichtsbehörde die Klägerin (das Unternehmen) unter der Annahme gemeinsamer Verantwortlichkeit verwarnt, das Gericht hob die Verwarnung aber auf.
Nach Ansicht des Gerichts hatte die Klägerin durch die Festlegung der Zielgruppe zwar aus Eigeninteresse Einfluss auf die Zwecke der Datenverarbeitung genommen, nicht aber auf die Mittel. Die Adresshändlerin führte das Lettershop-Verfahren nach dem von ihr konzipierten Prozess durch, ohne dass die Klägerin auf dessen strukturelle oder organisatorische Ausgestaltung hätte einwirken können. Für eine Einflussnahme auf die Mittel der Datenverarbeitung sei eine über die bloße Auftragserteilung hinausgehende organisatorisch-konzeptionelle Mitwirkung erforderlich, so das VG Berlin.
Relevant ist die Entscheidung u.a., weil in der Vergangenheit verschiedene Aufischtsbehörden sehr klar für Lettershop-Verfahren von einer gemeinsamen Verantwortlichkeit ausgegangen sind. Die Argumentation und Ansicht des VG kann in der Praxis bei der Bewertung nach Art. 26 DSGVO eine wichtige Rolle spielen.
VG Berlin, Urt. v. 14.10.2025, 1 K 74/24: https://gesetze.berlin.de/bsbe/document/NJRE001625426
|
|
|
|
| |
LG Berlin II: Datenschutz führt nicht zur Beweislastumkehr
In einem wettbewerbsrechtlichen Verfahren über den Verkauf von Tickets für Fußballspiele vor dem LG Berlin II (Az. 91 O 56/24) traf eine Ticketverkaufsplattform eine sekundäre Darlegungslast. Sie hatte darzulegen, dass sie die streitgegenständlichen Ticketangebote weder selbst vornahm noch die gewerbliche Tätigkeit dritter Unternehmen förderte. Die Plattform verweigerte dies unter Verweis auf europäisches und Schweizer Datenschutzrecht.
Das LG Berlin II stellte klar, dass das Datenschutzrecht nicht dazu dient, die sekundäre Darlegungslast zu umgehen. In solchen Fällen greife Art. 6 Abs. 1 lit. f DSGVO: Die berechtigten Interessen des Verantwortlichen umfassen auch die Übermittlung von Daten an Gerichte und Rechtsanwälte, sofern dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Soweit besondere Kategorien personenbezogener Daten betroffen sind, kann die Übermittlung auf Art. 9 Abs. 2 lit. f DSGVO gestützt werden. Das Gericht verweist dabei auf den unionsrechtlich verankerten Justizgewährleistungsanspruch nach Art. 47 GRCh. Eine solche zweckändernde Datenverarbeitung sei nach seiner Auffassung zulässig, da Art. 6 Abs. 4 DSGVO auf Art. 23 Abs. 1 DSGVO verweist, der auch die Durchsetzung zivilrechtlicher Ansprüche erfasst.
LG Berlin II, Urt. v. 23.10.2025, 91 O 56/24 (aktuell nur abrufbar bei BeckOnline, SpoPrax 2026, 28)
|
|
|
|
| |
Können sich die Mandanten bei Auskunftsanfragen auf das Anwaltsgeheimnis berufen?
Die Kommunikation zwischen Anwälten und Mandanten unterliegt dem Anwaltsgeheimnis. Zur Verschwiegenheit ist allerdings nur der Berufsgeheimnisträger, also der Anwalt gesetzlich verpflichtet. Der Mandant kann als „Herr des Geheimnisses“ über die Informationen dagegen frei verfügen. Nach der Rechtsprechung des BVerwG lässt sich den einschlägigen BRAO-Vorschriften nichts dazu entnehmen, wie der Mandant mit vertraulichen Informationen umzugehen hat. Damit stellt sich die Frage, ob Unternehmen (als Mandanten von Kanzleien) Auskunft nach Art. 15 DSGVO über ihre Kommunikation mit Anwaltskanzleien erteilen müssen, soweit diese personenbezogene Daten der betroffenen Person enthält.
§ 29 Abs. 1 S. 2 BDSG sieht zwei Ausnahmen von der Auskunftspflicht vor: Zum einen sind Datenverarbeitungen nicht zu beauskunften, soweit die Information aufgrund einer Rechtsvorschrift geheim gehalten werden muss. Zum anderen sind Fälle erfasst, in denen zwar keine gesetzliche Regelung besteht, das Geheimhaltungserfordernis sich aber aus der Natur der Information ergibt („ihrem Wesen nach"). Zwar ist der Mandant an die Wahrung des Anwaltsgeheimnisses nicht gebunden.
Die gesetzgeberische Wertung zeigt aber, dass die Ausnahme auch Informationen erfassen kann, deren Geheimhaltung nicht ausdrücklich vorgeschrieben ist. Die Kommunikation mit dem Anwalt enthält typischerweise Informationen, die für die Durchsetzung oder Verteidigung von Rechtsansprüchen des Verantwortlichen von erheblicher Bedeutung sind. Eine vorzeitige Offenlegung kann die Prozessposition des Verantwortlichen nachteilig beeinflussen. Zumindest nach Auffassung des BVwG Österreich (Entsch. v. 8.7.2024,W137 2278780-1) sind solche Daten von der Auskunftspflicht ausgenommen. All dies spricht dafür, dass Verantwortliche sich in derartigen Fällen auf § 29 Abs. 1 S. 2 BDSG berufen können. Ergänzend kommt ein Rückgriff auf Art. 15 Abs. 4 DSGVO in Betracht, da die Vorschrift auch die Rechte und Freiheiten des Verantwortlichen schützt.
Entscheidung des BVwG Österreich: https://www.ris.bka.gv.at/Dokumente/Bvwg/BVWGT_20240708_W137_2278780_1_00/BVWGT_20240708_W137_2278780_1_00.html
|
|
|
|
| |
Fehlender Hinweis auf das Widerrufsrecht macht die Einwilligung nicht unwirksam
Das OLG Zweibrücken (Urt. v. 9.12.2025, Az. 5 U 82/24) hatte in einem Verfahren über Schadensersatzansprüche nach Art. 82 DSGVO zu entscheiden und dabei die Voraussetzungen einer wirksamen Einwilligung zu prüfen. Die Kläger sind Mieter einer Doppelhaushälfte, mit deren Verkauf die Beklagte von den Eigentümern beauftragt worden war. In Vorbereitung des Verkaufs wurden im Beisein der Kläger Fotos des Innenraums angefertigt und anschließend in einer Online-Anzeige veröffentlicht. Eine ausdrückliche Einwilligung wurde nicht eingeholt, die Kläger wurden aber darüber informiert, dass die Aufnahmen zum Zweck des Verkaufs angefertigt werden.
Das Gericht ließ diese konkludente Einwilligung ausreichen. Den Klägern sei zweifelsfrei mitgeteilt worden, dass die Fotos Dritten zum Zweck des Verkaufs bereitgestellt werden. Da die Veröffentlichung auf Immobilienportalen branchenüblich ist, mussten sie auch damit rechnen, dass das Exposé nicht nur in Papierform angefertigt wird. Die DSGVO verlange auch keine ausdrückliche Einwilligung, sondern eine eindeutige einzelfallbezogene Willensbekundung der betroffenen Person.
Interessant sind die Ausführungen des Gerichts zum fehlenden Hinweis auf das Widerrufsrecht. Einen solchen Hinweis hatte die Beklagte unstreitig nicht erteilt. Das Gericht wertete dies auch als Verstoß gegen Art. 7 Abs. 3 DSGVO. Zur Unwirksamkeit der Einwilligung führe dieser Verstoß nach Ansicht des OLG Zweibrücken aber nicht – eine Auffassung, die bereits die Vorinstanz geteilt hatte.
Diese Ansicht wird auch in der Literatur teilweise vertreten, mit dem Argument, dass der fehlende Hinweis keine echte Wirksamkeitsvoraussetzung darstellt und eine gegenteilige Sichtweise die konkludente Einwilligung in der Praxis weitgehend ausschließen würde, obwohl der Gesetzgeber diese Einwilligungsform erkennbar nicht ausschließen wollte. Der EDSA sieht das allerdings anders: In den Leitlinien 05/2020 stellt die europäische Behörde klar, dass der Hinweis auf das Widerrufsrecht eine notwendige Voraussetzung für die Gültigkeit der Einwilligung ist.
Urteil des OLG Zweibrücken: https://www.landesrecht.rlp.de/bsrp/document/NJRE001631384
|
|
|
|
| |
Was plant die EU-Kommission im Rahmen der DSGVO-Reform?
Auf einer Unterseite des Blogs habe ich mehrere Beiträge veröffentlicht, die sich inhaltlich mit der geplanten Reform der DSGVO befassen. Grundlage meiner Anmerkungen und Gedanken zu den geplanten Änderungen ist der veröffentlichte Entwurf der EU-Kommission zum sog. Digitalen Omnibus Gesetzespaket. U.a. finden Sie dort folgende Beiträge:
Vorschläge der EU-Kommission im Bereich Tracking und Online-Datenschutz (1) (Art. 88a DSGVO-E): https://www.delegedata.de/dsgvo-reform-2025/dsgvo-reform-vorschlaege-der-eu-kommission-im-bereich-tracking-und-online-datenschutz-art-88a-dsgvo-e/
Keine Informationspflichten für Handwerker, Vereine und „nicht datenintensive“ Tätigkeiten? Völlig missglückter Versuch der Kommission: https://www.delegedata.de/dsgvo-reform-2025/dsgvo-reform-keine-informationspflichten-fuer-handwerker-vereine-und-nicht-datenintensive-taetigkeiten-voellig-missglueckter-versuch-der-kommission/
Missbrauchseinwand gegen Auskunftsansprüche – Weniger statt mehr Rechtssicherheit: https://www.delegedata.de/dsgvo-reform-2025/dsgvo-reform-missbrauchseinwand-gegen-auskunftsansprueche-weniger-statt-mehr-rechtssicherheit/
|
|
|
|
| |
Veranstaltungshinweise: Piltz Legal update in 2026
|
|
|
| |
Schulung zum Thema „Fachkunde aktuell halten: Datenschutzrecht kompakt für betriebliche Datenschutzbeauftragte“
Datum: 10. März 2026
Ort: Köln
In dieser praxisnahen Tagesveranstaltung werden wichtige rechtliche Entwicklungen im Datenschutz vermittelt und anhand von Fallbeispielen eingeordnet. Neben aktuellen Entscheidungen und Behördenpositionen liegt ein Schwerpunkt auf der Rolle des Datenschutzbeauftragten im Unternehmen oder öffentlichen Stellen.
Anmeldung: https://www.piltz.legal/events/fachkunde-aktuell-halten-datenschutzrecht-kompakt-fuer-betriebliche-datenschutzbeauftragte
DSGVO-Update: Wichtige Entwicklungen für Unternehmen
Datum: 22. April 2026
Ort: Berlin
Dieses Seminar gibt einen kompakten Überblick über aktuelle rechtliche Entwicklungen, neue Leitlinien der Aufsichtsbehörden sowie relevante Gerichtsentscheidungen. Als Referenten freuen wir uns auf Cay Cornelius, Abteilungsleiter für den Bereich Wirtschaft bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit.
Anmeldung: https://www.piltz.legal/events/dsgvo-update-wichtige-entwicklungen-fuer-unternehmen
Fränkischer Datenschutztag 2026
Datum: 24. & 25. Juni 2026
Ort: Würzburg
Freuen Sie sich auf interessante Themen rund um aktuelle datenschutzrechtliche Entwicklungen, Ansichten und Empfehlungen der Aufsichtsbehörde und hilfreiche Praxiserfahrungen – u.a. mit Vertreterinnen und Vertreter der Aufsichtsbehörden aus Berlin und Bayern und des BSI.
Anmeldung: https://www.piltz.legal/events/fraenkischer-datenschutztag-2026
|
|
|
|
