Im neuen Podcast mit Stefan Brink und Niko Härting gilt der Hinweis (ab Minute 00:50) einer Vortragsveranstaltung der Stiftung Datenschutz, bei der Stefan zur Reform der DS-GVO spricht – der Vortrag ist dann unter https://294210.seu2.cleverreach.com/m/16049313/0-ade6065a5d75f15408ac75fd80a424e57cdaad9056497821bc9844cf6b3b8354148633b9b361312f04a0013bb7faca84 abrufbar.

International geht es (ab Minute 02:45) los, und zwar um den Schuldspruch des Pariser Tribunal Correctionnel in der Affäre um Scheinbeschäftigungen von Mitarbeitern im Europaparlament; das das Gericht verhängte gegen Marine Le Pen mit sofortiger Wirkung die Strafe der befristeten Unwählbarkeit für politische Ämter für fünf Jahre. Außerdem wurde Le Pen (Vorsitzende der Partei Rassemblement National) zu vier Jahren Freiheitsstrafe, davon zwei Jahre Haft mit Fußfessel verurteilt und es wurde eine Geldstrafe in Höhe von 100.000 Euro verhängt. Das Gericht begründete das sofortige Amtsverbot mit einem drohenden "Rückfallrisiko". Die französische Politikerin kann aller Voraussicht nach nicht bei der Präsidentschaftswahl 2027 kandidieren, die politischen Reaktionen in Frankreich sind durchwachsen. So etwas kann auch in Deutschland passieren, der Verlust des passiven Wahlrechts ist Nebenstrafe nach § 45 Abs. 1 StGB.

Ur-deutsch ist hingegen (ab Minute 12:56) die Entscheidung des VGH München (Beschluss v. 21.02.2025 – 7 ZB 24.651), wonach die Einsichtnahme in einen Auftragsverarbeitungsvertrag im Rundfunkbeitragsrecht sich weder aus dem Rundfunkbeitrag-Staatsvertrag, noch aus der DS-GVO oder § 29 VwVfG herleiten lässt.

Sehr deutsch (ab Minute 24:18) ist auch das Thema sog. „Neugierabfragen“ aus staatlichen Informationsregistern. Das OLG Stuttgart (25.2.2025, 2 ORbs 16 Ss 336/24) bestätigte, dass die nicht dienstlich veranlasste Datenbankabfrage durch Behördenmitarbeiter (hier: Polizeiauskunftssystem "POLAS") eine Verantwortlichkeit gem. Art. 4 Nr. 7 DS-GVO begründet. Der Polizist bekam eine 1.500 € Geldbuße für den Abruf von Daten über einen damaligen Kollegen, der sich zu dieser Zeit in Untersuchungshaft befand.

Sehr europäisch sind hingegen (ab Minute 33:01) die Entscheidungen des BGH (Urteile vom 27. März 2025 - I ZR 186/17; I ZR 222/19 und ZR 223/19) zur Befugnis der Verbraucherschutzverbände und Mitbewerber, Verstöße gegen das Datenschutzrecht im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten zu verfolgen (zu Facebook online-Spielen) bzw. zum Vertrieb von Medikamenten via Amazon. In allen Fällen lagen Vorlageentscheidungen des EuGH vor, welche der BGH brav umsetzte. Damit ist das Zusammenspiel von DS-GVO und UWG so ziemlich geklärt – im Wege der deutsch-europäischen Zusammenarbeit.

In Brüssel zeichnen sich die digitalpolitischen Schwerpunkte der neuen Kommission und des Parlaments ab. (Ab 03:40) Parlamentarier aller demokratischen Fraktionen schauen besorgt in die USA und halten „digitale Souveränität“ für das Gebot der Stunde. Der Weg dorthin wird jedoch steinig bleiben. Zugleich ist eine mögliche DSGVO-Reform in aller Munde. Dass es gerade bei den Sprachmodellen und allgemein bei KI etliche datenschutzrechtliche Stolpersteine gibt, ist allen Akteuren bewusst. Auch möchte man die Rechtsdurchsetzung verbessern und Erleichterungen für kleine und mittelständische Unternehmen schaffen. In einem „Omnibus“-Paket sollen manche Ungereimtheiten im Zusammenspiel der verschiedenen neuen Digitalrechtsakte beseitig werden.

18:48
Derweil schreitet die Arbeit an einem Koalitionsvertrag in Berlin weiter voran. Man diskutiert über ein Digitalministerium und deutlich erweiterte Zuständigkeiten der Bundesbeauftragten für Datenschutz und Informationsfreiheit. Wenn es nach CDU und CSU ginge, verlöre die BfDI zudem ihr „I“. Ausgerechnet Philipp Amthor soll die treibende Kraft bei Forderungen nach einer Abschaffung der Informationsfreiheit sein. Die Kettensäge lässt grüßen.

38:00
In Luxemburg produziert der EuGH gleichzeitig weiter DSGVO-Entscheidungen am Fließband. Stefan Brink und Niko Härting sprechen über einen österreichischen Scoringfall, in dem der EuGH die Auffassung vertritt, eine Auskunftei müsse den Aufsichtsbehörden und Gerichten gegebenenfalls die verwendeten Algorithmen offenlegen und könne sich dabei nicht auf den Schutz ihrer Geschäftsgeheimnisse berufen (EuGH vom 27.2.2025, Az. C-2043/““).

Im neuen Podcast mit Niko Härting und Stefan Brink geht es um Falsches, das berichtigt werden soll: Zunächst (ab Minute 00:50) berichtet Niko in Querbeet von den Versuchen der Trump-Administration, Maßnahmen der Gleichstellung (am Exempel großer US Law Firms) als Diskriminierung hinzustellen.

Sodann geht es (ab Minute 06:21) um die Stellungnahme der Landesdatenschutzbeauftragten (ohne die BfDI) zum Data Act Durchführungsgesetz: Die LfD sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus, die Europa- und Verfassungsrecht beachtet und Doppelstrukturen vermeidet.

Keinen Berichtigungsbedarf sah das BVerfG (ab Minute 12:49) - 2 BvE 4/25, Beschluss vom 13.3.2025 – anlässlich einer Organklage der fraktionslosen Abgeordneten des 20. Deutschen Bundestages Joana Cotar. Sie wendete sich ihren Anträgen auf Erlass einer einstweiligen Anordnung gegen die Anberaumung von Sondersitzungen des 20. Deutschen Bundestages - nach der bereits erfolgten Wahl zum 21. Deutschen Bundestag - in denen über die Schuldenbremse beraten werden sollte. Das BVerfG lehnte mit einer schlichten Folgenabwägung ab.

Als berichtigungsbedürftig sieht die „Initiative für einen handlungsfähigen Staat“ (ab Minute 19:30) aus den vier Aktivisten Julia Jäkel (Managerin und Verlegerin, ehem. Vorstandsvorsitzende Gruner und Jahr), den ehemaligen Bundesministern Thomas de Maizière und Peer Steinbrück sowie Ex-BVerfG-Präsident Andreas Voßkuhle, die „Blockaden und Selbstblockaden staatlichen Handelns“, besonders beim Datenschutz: Die Datenschutzgrundverordnung werde in Deutschland strenger angewendet als in anderen EU-Staaten (soso), der Persönlichkeitsschutz sei gerade mit Hilfe digitaler Technologie leichter und besser umzusetzen (aha). Deswegen solle künftig Opt-Out statt Einwilligung herrschen, kleine und mittlere Unternehmen sollten über keinen Datenschutzbeauftragten mehr verfügen müssen. Und ach ja: Die Aufsicht über den nichtöffentlichen Bereich (Unternehmen), die heute durch die Datenschutzaufsichtsbehörden der Länder ausgeübt wird, sollte bei der Bundesbeauftragten erfolgen, um eine uneinheitliche Rechtsauslegung zu vermeiden.

Nichts zu berichtigen hatte schließlich das BVerwG (10 VR 2.25 am 13. Februar 2025 – ab Minute 29:09) und lehnte den Antrag des Redakteurs einer Tageszeitung ab, der im Wege der einstweiligen Anordnung Auskünfte vom Bundesnachrichtendienst (BND) begehrte. Dieser wollte anlässlich der Münchner Sicherheitskonferenz vertrauliche Hintergrundgesprächen mit Journalisten führen – das BVerwG fand das nicht spannend genug und ließ offen, ob der BND richtig oder falsch damit liegt.

Mit einem Anspruch auf Berichtigung nach Art. 16 DS-GVO befasste sich der EuGH (Urteil vom 13.3.25 C-247/23 – ab Minute 39:38). Ein transsexueller iranischer Geflüchteter bat die ungarische Ausländerbehörde um die Berichtigung von Daten betreffend seine Geschlechtsidentität in einem von dieser Behörde geführten öffentlichen Register. Die Behörde lehnte das ab, da er keinen Nachweis einer geschlechtsangleichenden Operation geführt hatte. Dem trat der EuGH auf Basis der DS-GVO (!) entgegen und befand, dass eine nationale Regelung, die es verhindert, dass eine transgeschlechtliche Person wegen fehlender Anerkennung ihrer neuen Geschlechtsidentität eine notwendige Voraussetzung erfüllen kann, um in den Genuss eines unionsrechtlich geschützten Anspruchs – wie im vorliegenden Fall des in Art. 16 DS-GVO konkretisierten Rechts – zu gelangen, grundsätzlich als mit dem Unionsrecht unvereinbar anzusehen sei. Wer hätte gedacht, dass die DS-GVO wirklich alles regelt … aber vielleicht bedürfte auch diese richterliche Auffassung der Berichtigung …

Niko Härting und Stefan Brink werfen zunächst (ab Minute 01:06) einen Blick auf den Fall Perkins Coie, der die Anwaltschaft weltweit schockiert. Der US-Präsident entzog mittels einer Executive Order der Wirtschaftskanzlei Perkins Coie LLP alle Mandate. Die Bundesbehörden wurden angewiesen, alle Dienstleister zur Offenlegung von Geschäftsbeziehungen mit Perkins Cole aufzufordern. Zudem lässt Trump untersuchen, ob amerikanische Großkanzleien gegen Antidiskriminierungsrecht verstoßen, indem sie weiße heterosexuelle Männer diskriminieren.

Ab Minute 13:25 geht es um ein viel beachtetes BGH-Urteil zum immateriellen Schaden nach Art. 82 DSGVO bei Spam-Mails (BGH v. 28.1.2025 - VI ZR 109/23). Der BGH verneint das Erfordernis einer ,,Erheblichkeitsschwelle“ für einen immateriellen Schaden, verlangt allerdings eine konkrete Darlegung des Schadens.

Im Anschluss (ab Minute 21:59) diskutieren Härting und Brink eine Entscheidung des AG München über das (nach Auffassung des Gerichts fehlende) Recht einer Gerichtsvollzieherin zur Befragung der Nachbarn eines Schuldners nach dessen Aufenthaltsort. Siegeszug der DSGVO oder ärgerliches Missverständnis?

Abschließend (ab Minute 32:14) wird eine Entscheidung des Bundesfinanzhofs zum Auskunftsanspruch gemäß Art. 15 DSGVO thematisiert (BFH v. 14.1.2025 – IX R 25/22). Dieser besteht auch gegen Finanzämter, einen unverhältnismäßigen Aufwand kann die Behörde dem Anspruch nach Auffassung des BFH in aller Regel nicht entgegenhalten.

Im neuen Podcast mit Stefan Brink und Niko Härting dreht sich alles um Allianzen im Datenschutz: Zunächst (ab Minute 00:40) geht es in Querbeet um die Frage, ob der unberechenbare US-Präsident Trump das EU-US Data Privacy Framework zu Fall bringen könnte – aus dem Jahr 2023, als die Allianz zwischen EU und USA noch stand. Stefan erklärte in einem Beitrag für das „Handelsblatt“, warum es sich jetzt rächen könnte, dass der Angemessenheitsbeschluss der EU-Kommission nur mit einer Executive Order des Präsidenten Biden und nicht wie von Datenschützern verlangt durch ein Parlamentsgesetz umgesetzt und abgesichert wurde: Jeder Präsident der USA hat es nun selbst in der Hand, das Abkommen wieder scheitern zu lassen.

Sodann geht es (ab Minute 13:21) beim Referentenentwurf zum Data Act-Durchführungsgesetz und die bröckelnde Allianz der Datenschutz-Aufsichtsbehörden der Länder und des Bundes: Der EU-DA, der eine faire Verteilung des Datenwertes vernetzter Produkte anstrebt, bekommt in Deutschland mit der Bundesnetzagentur eine zentrale Aufsichtsbehörde für die Durchsetzung und Überwachung der Verordnung (EU) 2023/2854. Ergänzend wird eine Sonderzuständigkeit für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit geschaffen – interessanterweise an den Aufsichtsbehörden der Länder vorbei. Aufgrund seiner Gesetzgebungskompetenz aus Artikel 74 Absatz 1 Nummer 11 Grundgesetz (Recht der Wirtschaft) begründet der Bund diese Sonderzuständigkeit der BfDI mit Artikel 87 Absatz 3 Satz 1 Grundgesetz. Die BfDI verfüge über das für eine zügige Identifizierung und Bewertung von Datenschutzfragen sowie die Aufbereitung von Sachverhalten notwendige Fachwissen und könne somit erheblich zu einer raschen Beurteilung der datenschutzrechtlichen Fragestellungen beitragen. Brechen da alte Allianzen zwischen der deutschen Datenschutzaufsichtsbehörden von Bund und Ländern? Haben wir es hier mit der Blaupause für Zentralisierung der Aufsicht über private Unternehmen beim Bund (BfDI) zu tun?

Schließlich (ab Minute 29:02) gibt es offenbar eine denkwürdige Allianz zwischen Axel Voss (MdEP der EVP-Fraktion) und Max Schrems von der Datenschutz-Organisation NOYB. Voss präsentiert seinen Plan zur Revision der DS-GVO, er will in einem 3-Schichten-Modell eine Differenzierung der Pflichten der DS-GVO abhängig von der nach Unternehmensgröße (vgl. DSA zu very large online platforms VLOP) vornehmen. Schrems stimmt insoweit zu, das „one size fits all“ der DS-GVO sei schon immer verrückt gewesen. Allerdings korreliert ein an der Unternehmensgröße ausgerichteter asymmetrischer Ansatz keineswegs mit dem risikobasierten Ansatz der DS-GVO: Risiken ergeben sich aus Datenmenge, Datenarten (Art. 9-Daten) und TOMs als risikomindernden Maßnahmen – nicht zwingend aus der Unternehmensgröße.
Ehemalige, bröckelnde und denkwürdige Allianzen im Datenschutz also…

Im Mittelpunkt dieser Podcastfolge steht (ab Minute 16:17) eine Entscheidung des Europäischen Gerichtshofs (EuGH), die sich an der Schnittstelle zwischen dem Datenschutzrecht und dem Gesellschaftsrecht bewegt und die von den Datenschützern bislang viel zu wenig beachtet wurde (EuGH vom 12.9.2024 – Az. C-17/22 und C-18/22). Zwei deutsche Fälle zu Publikumsgesellschaften (Treuhandfonds) und zu der umstrittenen Frage, ob ein Anleger Auskunft über die weiteren Mitgesellschafter und Treugeber verlangen kann. Nach der ständigen Rechtsprechung des Bundesgerichtshofs (BGH) kann ein solcher Anspruch vertraglich nicht ausgeschlossen werden; „das Recht, seine Vertragspartner zu kennen, ist in jedem Vertragsverhältnis selbstverständlich“ (BGH vom 19.11.2019, Az. II ZR 263/18, Rn. 13).

Die Entscheidung des EuGH hinterlässt Stefan Brink und Niko Härting weitgehend ratlos. Der EuGH misstraut erneut jeder Datenverarbeitung, die sich nicht auf Einwilligungen stützt. Die Rechtfertigungsgründe des Art. 6 Abs. 1 Satz 1 lit. b bis f DSGVO sind für den EuGH ersichtlich Normen der zweiten Wahl: „In diesem Zusammenhang sind die in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO vorgesehenen Rechtfertigungsgründe eng auszulegen, da sie dazu führen können, dass eine Verarbeitung personenbezogener Daten trotz fehlender Einwilligung der betroffenen Person rechtmäßig ist“ (a.a.O., Rn. 37). Eine höchst eigenwillige Interpretation des Art. 6 DSGVO.

Was für den BGH „selbstverständlich“ und unabdingbar ist, sieht der EuGH ganz anders: „Vorbehaltlich einer Überprüfung durch das vorlegende Gericht ist daher eine Verarbeitung personenbezogener Daten, die in der Weitergabe von Informationen in Bezug auf Gesellschafter besteht, die über eine Treuhandgesellschaft mittelbar an einer Publikumsfondsgesellschaft beteiligt sind, nicht als im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO ‚für die Erfüllung eines Vertrags … erforderlich‘ anzusehen, wenn der Vertrag, der dem Erwerb einer solchen Beteiligung zugrunde liegt, die Weitergabe dieser Daten an Mitanteilseigner ausdrücklich ausschließt“ (a.a.O., Rn. 47).

Mit einer erstaunlichen Volte eröffnet der EuGH den deutschen Gerichte dann jedoch über Art. 6 Abs. 1 Satz 1 lit. c DSGVO eine Hintertür, die es dem BGH mit großer Wahrscheinlichkeit ermöglicht, an seiner bisherigen Rechtsprechung festzuhalten. Letztendlich wird wohl alles beim Alten bleiben…

Ein Glanzstück des Kompliziert-Verästelten sind auch die Guidelines des Europäischen Datenschutzausschusses zur Pseudonymisierung (ab Minute 7:24). Und auch das jüngste Urteil des EuGH zur Bemessung von Bußgeldern bei Konzernunternehmen (EuGH vom 13.2.2025, Az. 383/23) kommt nicht ohne Kapriolen aus (ab Minute 36:36). Umso klarer und entschiedener reagiert Apple auf alles Bestrebungen, staatlichen Behörden Hintertürchen in die iCloud zu öffnen (ab Minute 1:00).

Im neuen Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 01:01) in Querbeet über die chinesische KI DeepSeek, welche in der Kritik steht: Die Verarbeitung von Nutzerdaten (Eingabe von Prompts/Nutzungsdaten/Profile) widerspreche dem EU-Datenschutz, Zugriff auf diese Nutzerdaten hätten auch staatliche Stellen in China. Zudem ließe sich die App für kriminelle Zwecke nutzen. Die italienische Aufsichtsbehörde hat die App bereits verboten.

Sodann geht es (ab Minute 09:51) um einen befürchteten „bürokratischen Staatsstreich“ in den USA, das „Department of Government Efficiency“ der Trump-Administration richtet unter Elon Musk (Tesla/X/SpaceX) bereits massiven Schaden an. Mit der Begründung, gegen Verschwendung, Korruption und „Bürokratie“ vorgehen zu wollen, sichert sich Musk den Zugriff auf sensible Personaldaten. US-AID, die Behörde für internationale Entwicklungshilfe, wird de facto aufgelöst, von 10.000 Mitarbeitenden sollen noch 300 bleiben. Erste Gerichte greifen ein und versuchen, eine Aushöhlung des Rechtsstaats zu verhindern.

Auch kurz angesprochen (ab Minute 15:30) wird eine Vorlageentscheidung des BGH an den EuGH vor: Zu klären ist der Umfang der Geschäftsführerhaftung für Kartellbußgelder – hier am Beispiel von Kartellabsprachen in der Stahlindustrie, gegen die das Bundeskartellamt Bußgelder in Höhe von 4,1 Millionen Euro gegen die GmbH und in Höhe von 126.000 Euro gegen den Geschäftsführer persönlich verhängte.

Schließlich (ab Minute 19:26) stehen Grundfragen des Datenschutzes vor dem Europäischen Gerichtshofs zur Debatte (Rechtssache C-413/23): Der Generalanwalt legte am 6.2.2025 seinen Schlussantrag vor, verhandelt wird über das Urteil des EuG 1. Instanz vom 26.4.2023. In der Sache wirft der Europäische Datenschutzbeauftragte EDSB dem SRB (Single Resolution Board, einheitlicher Abwicklungsausschuss), der als Bankenaufsicht bei der Abwicklung von Kreditinstituten tätig wird, die Verletzung datenschutzrechtlicher Informationspflichten vor (vgl. Art. 13 DS-GVO, hier jedoch: Verordnung 2018/1725 zur Datenverarbeitung durch EU-Organe). In einem denkbar einfach gelagerten Fall – ein Dienstleister erhält pseudonymisierte Daten – entwickelt das EuG die Theorie, dass der Personenbezug nicht absolut, sondern je nach Empfänger der Daten relativ festzustellen sei – und beruft sich dabei auf den EuGH (Breyer-Entscheidung vom 19.10.2016 zum Personenbezug von IP-Adressen).
In seinem Schlussantrag geht der GA ebenfalls davon aus, dass pseudonyme Daten für den Datenverarbeiter anonym sein können – was wohl mit dem Wortlaut von ErwGr 26 DS-GVO kollidiert.
Zur Krönung dieser Verwirrung geht der GA auch noch davon aus, dass Informationspflichten des Verantwortlichen nicht deswegen entfallen, weil die Daten für den Empfänger anonym sind (anders als Art. 4 Nr. 9 DS-GVO). Handlungen des Verantwortlichen, die keine Beeinträchtigung des Betroffenen auslösen können, sollen also keinen Einfluss auf seine Pflichten haben? Na prima …

Grundfragen des Datenschutzes sind offensichtlich unklar und ungeklärt – man möchte mit Dante angesichts dieses Blicks in den Höllenschlund ausrufen: „Lasciate ogni speranza“ – Lasst alle Hoffnung fahren …

Was sagen eigentlich die Parteien in ihren Programmen zum Datenschutz, zu Bürgerrechten, zur Informationsfreiheit. Stefan Brink und Niko Härting haben sich eingelesen.

In diesem Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 00:59) über das Gutachten des Netzwerks Datenschutzexpertise zur Frage: Unter welchen Voraussetzungen besteht ein Anspruch auf eine analoge Alternative zum digitalen Service? Bei immer mehr Dienstleistungen von Staat und Wirtschaft werden solche Alternativen nicht mehr angeboten. So z. B. wenn der Kauf günstiger Bahnfahrkarten, die Abholung von Postpaketen oder der Eintritt zu Kultur- oder Sportveranstaltungen ohne Smartphone nicht mehr möglich ist. Auch die öffentliche Verwaltung setzt immer öfter auf „digital only“.
Dadurch werden Menschen regelmäßig ausgeschlossen und diskriminiert, weil sie sich die benötigten Digitalgeräte und Anschlüsse nicht leisten können, weil sie nicht über die nötige Medienkompetenz verfügen oder weil sie wegen einer Beeinträchtigung einen Dienst faktisch nicht nutzen können. Viele Menschen versuchen auch, digitale Angebote – insbesondere im Internet – zu vermeiden, weil sie befürchten, dass ihre dadurch erlangten Daten missbraucht werden.
Ein Anspruch auf alternativen analogen Zugang lässt sich möglicherweise aus der Verfassung herleiten, gerade gegen öffentliche Stellen. Das Gutachten mündet in die
Forderung, ein Verbot digitaler Diskriminierung verfassungsrechtlich zu fixieren.

Sodann wird (ab Minute 10:16) das Urteil des Bundesverfassungsgerichts zur Erhebung einer Gebühr für den polizeilichen Mehraufwand bei „Hochrisikospielen“ der Fußball-Bundesliga besprochen (Urteil vom 14.1.2025 1 BvR 548/22). Die Verfassungsbeschwerde der DFL Deutsche Fußball Liga GmbH blieb erfolglos, das BVerfG prüft mustergültig den gesetzlichen Eingriff in die Berufsausübungsfreiheit des Art. 12 GG und beurteilt diesen als formell und materiell verfassungskonform. Zweifel bestehen allenfalls an der Trennschärfe der angelegten gesetzlichen Kriterien für eine Kostenbeteiligung (polizeilicher Mehraufwand bei gewinnorientierten, erfahrungsgemäß gewaltgeneigten Großveranstaltungen mit mehr als 5.000 Personen).

Schließlich wird (ab Minute 21:34) ein Urteil des Europäischen Gerichtshofs vom 9.1.2025 (Rechtssache C-416/23) analysiert: Es geht um die Pflicht der Aufsichtsbehörde zur Bescheidung exzessiver Anträge nach Art. 57 Abs. 4 DS-GVO. Ganze 77 Mal beschwerte sich ein Österreicher bei der örtlichen Datenschutzbehörde über mögliche Verstöße gegen die Datenschutz-Grundverordnung, etwa die Verletzung von Art. 15 DS-GVO - in weniger als zwei Jahren. Die österreichische Behörde weigerte sich, die Beschwerden noch zu bearbeiten. Der Bürger habe exzessiv Beschwerden eingereicht und es damit übertrieben.
Der EuGH macht den Aufsichtsbehörden das Leben nicht leichter: Anfragen seien nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung einzustufen, die Aufsichtsbehörde müsse zusätzlich das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweisen. Das Wahlrecht der Aufsichtsbehörde (Nicht-Behandlung der exzessiven Anfrage oder Erhebung einer Gebühr) müsse zudem verhältnismäßig ausgeübt werden.

Aufsichtsbehörde zu sein macht auch nicht immer Spaß …

Niko Härting und Stefan Brink werten zunächst die Grundgesetzänderung zum Schutz des Bundesverfassungsgerichts aus. Die Struktur und Zusammensetzung sowie die Bindungswirkung der Entscheidungen des Bundesverfassungsgerichts sind nun im Grundgesetz festgeschrieben. Somit wurden einige Regelungen aus dem einfachen Gesetz (Bundesverfassungsgerichtsgesetz), welche jederzeit mit einfacher Mehrheit geändert werden können, durch die Hürde der 2/3-Mehrheit zur Veränderung des Grundgesetz geschützt. Transparenzregelungen in Bezug auf die Wahl der Richter des Bundesverfassungsgerichts, welche das Vertrauen in unsere Verfassungshüter stärken würden, wurden bedauerlicherweise nicht beschlossen.

Ab Minute 13:47 werden zwei Entscheidungen zum Datenschutz, insbesondere zum Thema der Datenminimierung besprochen.

In Polen konnten Erziehungsberechtigte der Verarbeitung eines Fingerabdrucks zwecks Identitätsfeststellung bei der Essensausgabe einwilligen. Andernfalls musste die Identität der Schülerin analog über eine Liste in einer separaten Schlange festgestellt werden. Die polnische Datenschutzbehörde bezweifelte die Wirksamkeit der Einwilligung mangels Freiwilligkeit. Das Verwaltungsgericht in Polen widersprach der Behörde. Trägt die Entscheidung den besonderen Anforderungen für biometrische Daten des Art. 9 DSGVO hinreichend Rechnung?

Ab Minute 27:52 geht es um die EuGH-Entscheidung vom 9.1.2025 (Az. C-394/23) in der das Gericht entschied, dass die Erhebung der Geschlechtsangabe für die französische Bahngesellschaft SNCF nicht erforderlich sei. Härting und Brink beschäftigen sich genauer mit der Auslegung des Art. 6 Abs. 1 lit. a bis f DSGVO (Rechtsgrundlagen für die Datenverarbeitung), insbesondere wird die Anwendung des EuGH der Datenverarbeitung zwecks der Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) kritisiert. Last but not least setzt der EuGH im Rahmen des Art. 6 Abs. 1 lit. f DSGVO einen strengen Maßstab fest: Aus dem Erforderlichkeitsgrundsatz wird das Erfordernis einer ,,unbedingten Notwendigkeit“.