Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

Meldungen

13.08.2025
Call for Papers: Siebter PinG-Nachwuchsworkshop in Berlin

Am 09. und 10. Oktober 2025 lädt die Redaktion der PinG – Privacy in Germany junge Wissenschaftler*innen, Referendar*innen, Berufsanfänger*innen und Interessierte zum siebten Mal nach Berlin ein, um gemeinsam über aktuelle Themen des Daten(schutz)rechts zu diskutieren. Es erwartet euch ein spannendes, zweitägiges Rahmenprogramm mit genügend Möglichkeiten zum Austausch in den Räumlichkeiten der Kanzlei Härting Rechtsanwälte. Um eine vielfältige Diskussion zu ermöglichen, seid ihr gefragt: Ihr möchtet einen Vortrag vor einem jungen Fachpublikum halten? Thesen aus eurem Dissertationsprojekt zur Diskussion stellen oder eine Forschungsfrage beleuchten, um sie zu einem Aufsatz fortzuentwickeln? Ihr habt Lust, neben fachlichem Input neue Kontakte zu anderen Nachwuchswissenschaftler*innen zu knüpfen? Dann freuen wir uns auf euren Beitrag zu dem Nachwuchsworkshop. Gute Beiträge können im Anschluss an den Workshop gerne in der PinG veröffentlicht werden. Unser diesjähriger Themenschwerpunkt lautet:

Auf Daten müssen Worte folgen Der Einfluss der Rechtsprechung des EuGH auf die Entwicklung des Daten(schutz)rechts

Ob ihr eine einzelne EuGH-Entscheidung analysiert, eine Rechtsprechungslinie beleuchtet oder eure Thesen zu einem Thema mit den Thesen des EuGH kontrastiert, steht euch völlig frei. Mögliche Fragestellungen sind beispielsweise:
  • DSGVO-Konkurrentenklagen: Ebnet der EuGH den Weg für eine neue Abmahnwelle?
  • EuGH und KI: Welche Auswirkungen haben bisherige Entscheidungen des EuGH für den rechtskonformen Einsatz Künstlicher Intelligenz?
  • Drittstaatentransfer: Kippt das EU-U.S. Data Privacy Framework bereits auf politischer Ebene oder erst vor dem EuGH – und gibt es Auswege aus der Rechtsunsicherheit?
  • Immaterieller Schadensersatz: Welche Grundlinien der Rechtsprechung sind nach den zahlreichen Entscheidungen zu Art. 82 DSGVO erkennbar und wie sind diese zu bewerten?
  • Plattformökonomie: Welche Kontinuitäten und Brüche in der EuGH-Rechtsprechung sind durch das Inkrafttreten des Digital Services Act zu erwarten?
  • Datenschutz und Unionsgrundrechte: Welche Rolle spielen Art. 7, 8 GRCh in der EuGH-Rechtsprechung zu datenbezogenen Rechtsakten?
  • EuGH und EGMR: Eine Geschichte der Synergieeffekte oder ein historisches Spannungsverhältnis in Fragen des Datenschutzes?
Diese Fragestellungen sollen eine grobe Orientierung bieten, euch aber selbstverständlich nicht einschränken. Eure Themenvorschläge sind herzlich willkommen. Wenn ihr einen Vortrag halten möchtet, dann schreibt uns bitte bis zum 20.08.2025 eine E-Mail mit eurem geplanten Vortragsthema nebst kurzer Inhaltsbeschreibung an mail@haerting.de. Ihr erhaltet dann zeitnah eine Rückmeldung von der Redaktion. Eine Teilnahme ohne Vortrag ist ebenfalls möglich. Die Teilnahme an dem Workshop ist kostenfrei. mehr …

03.03.2025
Gefährdungshaftung aus Art. 32 DSGVO – OLG Schleswig verirrt sich in die DSGVO und bezeichnet Papier als „Mittel der Wahl“

Man kann die DSGVO so auslegen, dass sie Digitalisierung ermöglicht. Man kann aber auch jegliches Augenmaß verlieren und die DSGVO als Digitalisierungsbremse missverstehen. Dies zeigt eine neuere Entscheidung aus dem hohen Norden. Ein Gericht aus Schleswig hält die vordigitale Briefpost auch heute noch für das Maß aller Dinge, für das „Mittel der Wahl“.

Wir schreiben das Jahr 2025. Und viele von uns erhalten und versenden jeden Tag Rechnungen, dies nur noch sehr selten auf Papier, meist per E-Mail als PDF. Die Mails werden fast durchgängig mit Transportverschlüsselung versandt, nur ganz selten Ende-zu-Ende verschlüsselt. Das OLG Schleswig hält den Verzicht auf eine Ende-zu-Ende-Verschlüsselung jetzt für datenschutzwidrig und bezeichnet den „Versand von Rechnungen per Post“ als „Mittel der Wahl“ (OLG Schleswig vom 18.12.2024, Az. 12 U 9/24, Rn. 93).

In dem Fall, den das OLG zu entscheiden hatte, ging es um eine Handwerkerrechnung in Höhe von rund 15.000 EUR. Ein Bauunternehmen hatte die Rechnung einem Bauingenieur geschickt, der für den Bauherrn tätig war. Bei dem Ingenieur ging eine gefälschte Version der Rechnung ein mit Bankdaten eines unbekannten Dritten. Die Überweisung ging heraus an das falsche Konto, das Geld verschwand. Wie genau es zu der Fälschung gekommen war, wer auf welchem Server oder Rechner Hacking betrieben hatte, blieb in erster wie zweiter Instanz unklar. Eine Beweisaufnahme, die Anhörung von Zeugen oder gar ein Sachverständigengutachten hielt das Schleswiger OLG offenkundig für entbehrlich.

Das OLG Schleswig bejahte stattdessen einen Datenschutzverstoß des klägerischen Bauunternehmens und einen Schadenersatzanspruch des Bauherrn aus Art. 82 DSGVO. Dass es die Bankdaten der Klägerin waren, die manipuliert wurden, und keine personenbezogenen Daten des Bauherrn störte das OLG nicht. Mit schlanker Hand schloss das Gericht vom konkreten Fall auf die DSGVO und meinte, „der zu entscheidende Fall“ zeige deutlich, dass „hier keine ‚Verarbeitungssituation mit normalen Risiken‘ vorliegt“ und Art. 32 DSGVO daher eine Ende-zu-Ende-Verschlüsselung jedweder Rechnungsmails verlange (a.a.O., Rn. 91).

An der Entscheidung aus Schleswig ist so ziemlich alles verkehrt. Art. 32 DSGVO schreibt die „Sicherheit der Verarbeitung“ und keinen idealen Schutz, sondern ein „angemessenes Schutzniveau“ vor. Die Vorschrift will digitale Kommunikation nicht übermäßig erschweren oder verhindern. Sie verlangt somit genau das Augenmaß, das die norddeutschen Richter vermissen lassen. Und welches “Schutzniveau“ angemessen ist, hängt natürlich ab von den Personendaten, um deren Schutz es der DSGVO geht. Da ist es schlechterdings nicht nachvollziehbar, warum die eigenen Kontodaten des Rechnungsstellers so schützenswert sein sollen, dass er sie gegen seinen eigenen Willen nur Ende-zu-Ende verschlüsselt versenden darf, wie das OLG Schleswig meint. Art. 32 DSGVO ist gewiss nicht als Allheilnorm gedacht, die einen Rechnungsempfängern vor kriminellen Hackern beschützen soll.

Das OLG Schleswig hat die Revision zugelassen. Es bleibt zu hoffen, dass die Klägerin Revision einlegt und der BGH dem OLG die rote Karte zeigt.

mehr …

26.02.2025
Außer Spesen: BGH folgt restriktiver EuGH-Linie beim DSGVO-Schadensersatz

Seit 2019 stritt sich ein unzufriedener Kunde mit einem Mobilfunkanbieter, dem er vorwarf, zu Unrecht einen SCHUFA-Eintrag veranlasst zu haben. Der Kunde auf Zahlung "eines Teilbetrags in Höhe von 6.000 EUR des angemessenen immateriellen Schadensersatzes nach Art. 82 DSGVO" und bekam 2022 vom OLG Karlsruhe 500 EUR zugesprochen. Damit gab sich der Kunde nicht zufrieden und zog vor den Bundesgerichtshof (BGH). Ohne Erfolg. In einem äußerst knapp gefassten Urteil gaben die Karlsruher Richter dem Kläger jetzt zu verstehen, dass er mit den bereits zugesprochenen 500 EUR mehr als gut bedient ist (BGH vom 28.1.2025, Az. VI ZR 183/22). Nach den Feststellungen der Vorinstanzen hatte der Mobilfunkanbieter die SCHUFA zwar wenige Tage nach dem Eintrag bereits um Löschung gebeten. Dennoch dauerte es fast zwei Jahre, bis der SCHUFA-Eintrag tatsächlich gelöscht war. Dem OLG Koblenz hatte dies in der Vorinstanz ausgereicht, um einen immateriellen Schaden zu bejahen:

"Bereits diese allgemein vorgetragenen potentiellen Schwierigkeiten bei der Teilhabe am Wirtschaftsleben in Form des Abschlusses von Internetkäufen sind ausreichend, einen ihr bereits entstandenen – und nicht erst zu befürchtenden ... – immateriellen Schaden im Sinne der Ausgleichsfunktion darzulegen. ." (OLG Koblenz vom 18.5.2022 5 U 2141/21, Rn. 85)
Dieser Satz wird nicht jeden überzeugen. Art. 82 DSGVO verpflichtet zum Ersatz des materiellen und des immateriellen Schadens. Der Kläger hatte nicht behauptet, einen in Geld messbaren (und damit materiellen) Schaden erlitten zu haben. Aber stellt es per se bereits einen immateriellen Schaden da, wenn man wirtschaftliche Nachteile befürchten muss? Oder geht es bei einem immateriellen Schaden nicht eher um einen Schaden auf der emotionalen Ebene, um reale Ängste und Sorgen? Um etwas, was man - wie etwa den "Kontrollverlust", der beim EuGH und beim BGH wiederholt Thema war - tatsächlich befürchtet und nicht nur "befürchten muss"? Den BGH brauchte all dies nicht zu beschäftigen, da auschließlich der Kunde Revision eingelegt hatte und es somit nicht mehr um die bereits zugesprochenen 500 EUR ging, sondern ausschließlich darum, ob es noch einen kräftigen Nachschlag auf diesen Betrag geben musste. Einen solchen Nachschlag hat der BGH recht kaltschnäuzig verweigert und mit einer verbal schallenden Ohrfeige an die Anwälte verbunden, die die Revision geführt haben:
"Die Revision hat weder geltend gemacht noch ist ersichtlich, dass der vom Berufungsgericht zuerkannte Betrag von 500 EUR nicht ausreichend wäre, um den immateriellen Schaden der Beklagten auszugleichen." (BGH vom 28.1.2025, Az. VI ZR 183/22, Rn. 13)
"Weder geltend gemacht noch ersichtlich": Kein Anwalt, der sich der Mühe einer Rechtsmittelbegründung unterzogen hat, liest eine solche Formulierung gerne. Am Schluss betont der BGH dann noch, dass sich der Schadensersatzanspruch nach Art. 82 DSGVO ausschließlich an der Höhe des Schadens bemisst (auch wenn natürlich bei einem nicht in Geld messbaren Schaden eine Bezifferung schwerfällt). Das Koblenzer OLG hatte die 500 EUR mit der Begrüdung zugesprochen, die Anspruchshöhe müsse abschreckend bemessen werden und zudem zur "Genugtuung" beitragen. Dies ist mit der restriktiven Rechtsprechung des EuGH zu Art. 82 DSGVO nicht vereinbar:
"Soweit das Berufungsgericht die Höhe des zuerkannten Schadensersatzes rechtsfehlerhaft auch mit einer Genugtuungs- und generalpräventiven Funktion des Schadensersatzes begründet hat, ist nicht ersichtlich, dass sich dieser Rechtsfehler zum Nachteil der Beklagten ausgewirkt hätte." (BGH vom 28.1.2025, Az. VI ZR 183/22, Rn. 14)
Fazit: Das Ende der Fahnenstange war nach Ansicht des BGH offenkundig bereits unterhalb der zugesprochenen 500 EUR erreicht. Bedenkt man den Aufwand und die Kosten, die mit einem solchen Prozess über mehrere Instanzen verbunden ist, kann man keinem Kläger und keiner Klägerin ernsthaft zu einem solchen Gang durch die Instanzen raten. mehr …

Weitere Meldungen

Inhalt der aktuellen Ausgabe 05/2025

DOI: https://doi.org/10.37307/j.2196-9817.2025.05
Lizenz: ESV-Lizenz
ISSN: 2196-9817
Ausgabe / Jahr: 5 / 2025
Veröffentlicht: 2025-08-29

Editorial

Inhalt

Beiträge

Aus Sicht der Stiftung Datenschutz: Die gelbe Tapete im Datenschutz – Awareness für einen (fast) unsichtbaren Schutz

Es gibt eine englische Kurzgeschichte aus dem Jahr 1892 mit dem Titel The yellow Wallpaper von Charlotte Perekins Gilman. Darin beschreibt die Autorin, wie eine Frau nach und nach der Vorstellung verfällt, hinter einer Tapete sei eine Frau gefangen. Was uns heute wie ein bizarrer literarischer Albtraum erscheint, war damals nicht nur eine künstlerische Fantasie, sondern auch eine schleichende Gefahr.

Datenschutz und Privatheit im digitalen Machtgefälle: Bedrohungen für vulnerable Gruppen

Die Digitalisierung durchdringt alle Lebensbereiche und bringt große Vorteile mit sich. Doch gerade für vulnerable Gruppen wie Frauen, Mitglieder der LGBTQ+-Community und Opfer von Stalking oder häuslicher Gewalt birgt sie auch erhebliche Risiken. Im digitalen Raum entsteht ein oft unsichtbares Machtgefälle, in dem persönliche Daten zu einem Werkzeug für Missbrauch und Kontrolle werden können. Anhand von Beispielen zeigt dieser Artikel auf, wie gerade vulnerable Gruppen besonderen Risiken ausgesetzt sind.

Quantencomputing – Implikationen für Datenschutz und Datensicherheit

Quantencomputing ist eine disruptive technologische Entwicklung der kommenden Jahre, die mit mehrdimensionalen wirtschaftlich-technologischen Chancen und Risiken einhergeht. Eine geeignete rechtliche Absicherung ihres Einsatzes ist entscheidend, wobei auch und gerade geltende Schutzprinzipien der DSGVO herausgefordert sind. Der nachfolgende Beitrag führt in einige technische Grundsätze der Quantencomputing-Technologie ein. Speziell die Auswirkungen des Quantencomputings auf gängige Verschlüsselungsmethoden sowie die Intransparenz von KI-Systemen sind im Kontext ihrer regulatorischen Einordnung unter der DSGVO zu untersuchen. Ergänzend werden konkrete Handlungsempfehlungen für Unternehmen aufgeführt.

Verhindert der Datenschutz die Verwaltungsdigitalisierung im Föderalismus?

Die Digitalisierung der öffentlichen Verwaltung in Deutschland zielt darauf ab, Prozesse zu beschleunigen und bürgerfreundlicher zu gestalten, wobei die behördenübergreifende Datennutzung eine zentrale Komponente
ist. Obwohl die Datenschutz-Grundverordnung häufig als Hemmnis wahrgenommen wird, liegt das Hauptproblem bei der Verwaltungsdigitalisierung nicht im Datenschutzrecht selbst, sondern in strukturellen, technischen und föderalen Umsetzungsdefiziten.

Aus Sicht einer Aufsichtsbehörde: Datenschutz – Was kommt? Was war?

„Erstens kommt es anders und zweitens als man denkt“ – nach diesem Motto verlief mein erstes Jahr als Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Gewählt mit dem Versprechen, Datenschutz wieder positiver zu denken, mehr und vor allem ein wenig anders zu beraten, war ich überzeugt, dass das Sicherheitspaket der Ampel das dominierende Thema meiner ersten Monate im Amt sein würde.

Zwei Seiten, ein Verfahren – Bußgelder nach der DSGVO im Spannungsverhältnis zwischen Aufsicht und Verteidigung

Mit seinen Leitlinien für die Berechnung von Geldbußen in der finalen Version 2.0 vom 24.05.2023 hat der Europäische Datenschutzausschuss (EDSA) Kriterien entwickelt, anhand derer in fünf Schritten eine Geldbuße festzusetzen ist. Wie beurteilen Sie diese „Vorgaben“ des EDSA und haben Sie den Eindruck, dass sie in allen 27 Mitgliedstaaten gleichermaßen angewendet werden? Wie beurteilen Sie die Leitlinien vor dem Hintergrund der ILVA-Entscheidung des EuGH vom 13.02.2025 – C-383/23 –?

NGOs im datenschutzrechtlichen Blindspot?

Datenschutz ist allgegenwärtig – ob in der Industrie, im Gesundheitswesen oder bei Tech-Konzernen. Doch während sich Unternehmen längst mit Compliance-Abteilungen und Datenschutzbeauftragten wappnen, bleibt ein Akteur weitgehend unter dem Radar der öffentlichen Debatte: gemeinnützige Organisationen und Nichtregierungsorganisationen (NGOs). Zwischen Ehrenamt, Fördergeldern und öffentlicher Mission kämpfen sie mit bürokratischen Hürden, die oft übersehen werden – besonders im datenschutzrechtlichen Kontext.

Schlaglicht

Schlaglicht 1:Das Landgericht Leipzig untersagt die umfassende Datenerfassung auf Drittanbieter-Websites und in Drittanbieter-Apps durch Meta

Mit Urteil vom 4. Juli 2025 (Az. 05 O 2351/23) hat das Landgericht Leipzig eine maßgebliche Entscheidung im Datenschutzrecht getroffen. Geklagt hatte ein Nutzer des sozialen Netzwerks Facebook gegen Meta Platforms Ireland Limited (Meta). Im Mittelpunkt stand die Feststellung, dass der Nutzungsvertrag mit Facebook die Verarbeitung personenbezogener Daten des Klägers auf Dritt-Websites und in Dritt-Apps seit dem 25. Mai 2018 nicht gestattet. Meta Platforms Ireland Limited (Meta) wurde zur Unterlassung der streitgegenständlichen Datenverarbeitung verurteilt und zur Zahlung eines immateriellen Schadensersatzes in Höhe von 5.000 Euro verpflichtet.

Schlaglicht 2:Anonymisierung und Pseudonymisierung: Freispruch des LG Hannover im Bußgeldverfahren gegen VW (Az. 128 OWiLG 1/24) rechtskräftig.

Anfang Juni dieses Jahres wurde ein bereits im Februar ausgesprochener Freispruch des LG Hannover in einem Bußgeldverfahren in Höhe von 4,3 Mio. EUR des LfD Niedersachen gegen VW rechtskräftig, nachdem die Staatsanwaltschaft Hannover ihre Rechtsbeschwerde beim OLG Celle zurückgenommen hatte. Der Freispruch hat in der aktuellen Debatte um Pseudonymisierung und Anonymisierung von personenbezogenen Daten eine hohe Signalwirkung, stellt das LG Hannover doch bei der Pseudonymisierung auf die Empfängersicht ab und erklärt das Bestehen einer “anonymisierenden Pseudonymisierung”.

Schlaglicht 3:„Der Data Act als Herausforderung für den Datenschutz“ – Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI) gibt Handreichung zum Data Act heraus

Ab dem 12. September 2025 gelten weite Teile des Data Acts als primäres Unionsrecht in Deutschland unmittelbar. Der Data Act soll den fairen Zugang zu und die faire Nutzung von Daten regeln. Dies betrifft sowohl personenbezogene als auch nicht personenbezogene Daten. Mit dem Data Act sollen Datenmonopole aufgebrochen und die Datensouveränität von Nutzern gestärkt werden. So sollen Nutzer von vernetzten Geräten Mitbestimmungsmöglichkeiten über die Verwendung der bei der Nutzung ihrer vernetzten Geräte anfallenden Daten bekommen.

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Datenschutzdigital        Erich Schmidt Verlag        ConsultingBay