Rechtsbeobachtung Nr. 85 – Juli 2025. 

 

Einhaltung der DSGVO: Welche wirtschaftlichen Vorteile ergeben sich?

Untersuchungen des Verbandes für berufliche Erwachsenenbildung (AFPA) und der CNIL bestätigen nun die wirtschaftlichen Vorteile, die mit der Präsenz eines Datenschutzbeauftragten (DSB) in Unternehmen verbunden sind.

Die von der AFPE im Januar 2024 durchgeführte statistische Erhebung, die auf mehr als 3600 Antworten von Datenschutzbeauftragten basiert, wurde durch ausführliche Interviews der CNIL mit zehn von der französischen Vereinigung der Datenschutzkorrespondenten (AFCDP) vorgeschlagenen Datenschutzbeauftragten ergänzt.

Die von der CNIL Ende Juli vorgelegten Ergebnisse dieser Analysen identifizieren vier Hauptvorteile für Unternehmen mit einem Datenschutzbeauftragten: Wettbewerbsfähigkeit, Vermeidung von Sanktionen, Vermeidung von Datenlecks und Rationalisierung des Datenmanagements.

Diese Vorteile werden von Unternehmen jeder Größe wahrgenommen, insbesondere aber in den Sektoren „Forschung, IT und Beratung“ sowie „Banken, Versicherungen und Versicherungsvereine auf Gegenseitigkeit“.

• Im Hinblick auf die Wettbewerbsfähigkeit erweist sich die Einhaltung der DSGVO somit als Hebel zur Erlangung von Aufträgen, insbesondere wenn diese mit Daten zu tun haben.

In diesem Zusammenhang erweist sich der Datenschutzbeauftragte als wichtiger Ansprechpartner für Käufer.

• Während der Datenschutzbeauftragte dazu beiträgt, die Risiken von Sanktionen zu begrenzen, erstrecken sich diese Vorteile nicht nur auf die Höhe der Geldbußen, sondern auch auf Reputationsaspekte.

Neben den Auswirkungen auf die Unternehmenseinnahmen können Sanktionen auch die Finanzratings von Unternehmen und damit deren Finanzierungsmöglichkeiten beeinträchtigen.

• Im Bereich der Sicherheit spielt der Datenschutzbeauftragte (DPO) zusammen mit dem Chief Information Security Officer (CISO) eine zentrale Rolle bei der Sensibilisierung der Mitarbeiter für Datenschutzthemen und der Umsetzung interner Richtlinien zum Datenschutz und zum Umgang mit Sicherheitsvorfällen.

In diesem Zusammenhang weist die CNIL darauf hin, dass die durchschnittlichen Kosten einer Datenschutzverletzung laut einer IBM-Studie aus dem Jahr 2024 5 Millionen US-Dollar betragen.

• Schließlich ermöglicht uns die Optimierung des Datenmanagements, Kosten für Server einzusparen, die sich potenziell auf mehrere hunderttausend Euro belaufen, und die Effizienz der Entscheidungsfindung zu verbessern.

In diesem Zusammenhang stellte eine Studie aus dem Jahr 2023, die sich mit den wirtschaftlichen Aspekten der digitalen Privatsphäre befasste, auch fest, dass „eine übermäßige Datenmenge die Marktmacht eines Unternehmens verringern kann“.

Der CNIL-Bericht berücksichtigt, wie der Datenverantwortliche die Vorschriften wahrnimmt. 

Je mehr der Datenschutzbeauftragte und das Unternehmen von den Vorteilen der Einhaltung der DSGVO überzeugt sind und deren Grundsätze in interne Prozesse integrieren, desto stärker sind die positiven Auswirkungen zu spüren – im Gegensatz zu Unternehmen, die die Einhaltung der DSGVO als Einschränkung betrachten.

Ein positiver Kreislauf aus Motivation und Nutzen würde somit entstehen, wenn die Grundsätze der Verordnung berücksichtigt werden.

Die in Frankreich durchgeführte Studie ist nicht die einzige, die die wirtschaftlichen Vorteile der Datenregulierung aufzeigt. 

Weitere Aspekte werden beispielsweise vom Europäischen Datenschutzausschuss (EDPB) hervorgehoben, der betont, welches Vertrauen die Umsetzung einer transparenten Datenschutzpolitik bei den Bürgern schafft, und zwar über den Kontext von Ausschreibungen hinaus.

Anfang dieses Jahres veröffentlichte die OECD außerdem eine Analyse internationaler Datenflüsse, in der sie feststellte, dass „Regelungen, die Schutzmaßnahmen vorsehen, ein Gleichgewicht zwischen den mit der Datenregulierung verbundenen Handelskosten und dem durch Datenschutzmaßnahmen geschaffenen Vertrauensgewinn herstellen“.

In einer Zeit, in der Datendiebstahl zunimmt und die Entwicklung künstlicher Intelligenz immer mehr ethische Fragen aufwirft, ist es ein bedeutender Vorteil in der Öffentlichkeit, das Vertrauen von Einzelpersonen zu gewinnen und zu erhalten.

 

        

Mit Beschluss vom 8. August 2025 erklärte der Verfassungsrat die Praxis der eingeschränkten Besetzung der CNIL für verfassungswidrig, die Personen, die sie bei Anhörungen oder Stellungnahmeersuchen anhören möchte, nicht über ihr Recht zu schweigen zu informieren.

Diese Entscheidung basiert auf dem Recht, sich nicht selbst zu belasten, das sich aus Artikel 9 der Erklärung der Menschen- und Bürgerrechte ergibt.

Um dieser Verfassungswidrigkeit ab dem Datum der Veröffentlichung seiner Entscheidung ein Ende zu setzen, beschloss der Verfassungsrat, dass die betroffene Person bis zum Inkrafttreten eines neuen Gesetzes oder bis zum Datum der Aufhebung der beanstandeten Bestimmungen vor der beschränkten Versammlung über ihr Recht zu schweigen belehrt werden sollte.

Nach der Entscheidung des Gerichtshofs der Europäischen Union (EuGH) veröffentlichte der Staatsrat am 31. Juli seine Entscheidung im Fall Mousse, benannt nach dem Verein, der die Beschwerde gegen die SNCF eingereicht hatte.

Er ist der Ansicht, dass SNCF Connect „seine Kunden nicht dazu zwingen kann, Höflichkeit zu zeigen“.

Diese Datenverarbeitung entspricht nicht der DSGVO, die vorschreibt, dass nur unbedingt notwendige personenbezogene Daten erhoben werden dürfen.

Die EU-Kommission ist der Ansicht, dass die Erhebung von Höflichkeitsregeln für den Ticketverkauf oder die Identitätskontrolle während der Reise nicht zwingend erforderlich ist und optional sein sollte, außer bei bestimmten Dienstleistungen, wie zum Beispiel Schlafwagenabteilen, die alleinreisenden Frauen vorbehalten sind.

Damit wird der Beschluss der CNIL vom 23. März 2021 aufgehoben, die Beschwerde des Vereins Mousse erneut prüfen muss.

Am 6. August 2025 bestätigte Bouygues Telecom, dass es zu einem Computerangriff gekommen war, der es Cyberkriminellen ermöglichte, auf die persönlichen Daten von mehr als sechs Millionen Kunden zuzugreifen.

Passwörter und Bankkartennummern blieben zwar unberührt, doch die Hacker erlangten Zugang zu einer Vielzahl von Informationen, darunter Namen, Post- und E-Mail-Adressen, Geburtsdatum, Vertragsnummer und IBAN. 

France Travail erlitt Mitte Juli einen weiteren Datenschutzverstoß, der 340.000 Datensätze von Arbeitssuchenden betraf, darunter Identitätsdaten, Adresse, Geburtsdatum und Telefonnummer. Angesichts der zunehmenden Zahl von Datenschutzverletzungen hat die französische Datenschutzbehörde CNIL ihre Hinweise für Privatpersonen aktualisiert.

 

Europäische Institutionen und Gremien

Die Europäische Kommission veröffentlichte am 7. August ihren Verhaltenskodex für Unternehmen, die allgemeine KI-Systeme (GPAI) betreiben.

Dieses Dokument wurde in Zusammenarbeit mit der Industrie und der Zivilgesellschaft erstellt und zielt darauf ab, die Einhaltung der KI-Regulierung zu erleichtern.

Die vollständige Liste der Unterzeichner umfasst 26 Unternehmen, darunter Amazon, Anthropic, Google, Microsoft, Mistral und OpenAI.

Elon Musks Unternehmen xAI hat lediglich den Teil des Codes unterzeichnet, der Sicherheitsaspekte betrifft. Daher muss xAI die Einhaltung der Transparenz- und Urheberrechtsbestimmungen auf anderem Wege nachweisen.

Da Dänemark vor Kurzem die Präsidentschaft des Rates der Europäischen Union übernommen hat, befindet es sich in einer privilegierten Position, die EU-Politik in den nächsten sechs Monaten maßgeblich zu gestalten.

Am 4. Juli erwähnte die dänische Regierung in einem informellen Dokument ihre Absicht, eine gezielte Überarbeitung der DSGVO und der ePrivacy-Richtlinie vorzuschlagen, um den Compliance-Aufwand für Unternehmen zu verringern und ihre Wettbewerbsfähigkeit zu sichern.

Es wird erwartet, dass die Europäische Kommission in den kommenden Monaten auch eine Qualitätsbewertung der EU-Digitalgesetzgebung sowie ein digitales Omnibuspaket veröffentlichen wird.

Eine Überarbeitung der DSGVO scheint nicht selbstverständlich zu sein, wenn man der Zusammenfassung des von der Kommission Mitte Juli organisierten „Umsetzungsdialogs“ Glauben schenken darf, dessen Schlussfolgerungen Anfang August veröffentlicht wurden.

Der Privatsektor gab an, in die Einhaltung der Vorschriften investiert zu haben und dass eine allgemeine Wiedereröffnung Unsicherheit schaffen könnte, insbesondere im Hinblick auf internationale Datentransfers.

In einem Fall, der den schwedischen öffentlichen Nahverkehr betrifft, hat der Generalanwalt des EuGH am 1. August den Anwendungsbereich der Artikel 13 und 14 der DSGVO hinsichtlich der Information von betroffenen Personen klargestellt.

Im konkreten Fall ging es um die Bildaufnahme durch die Bordkameras der Controller.

Der Generalanwalt ist der Ansicht, dass Artikel 13 immer dann Anwendung findet, wenn die betroffene Person die Quelle der Daten ist („von der betroffenen Person erhoben“), unabhängig von deren Beteiligung an der Erhebung der Daten und ab dem Zeitpunkt, an dem kein Vermittler zwischen der betroffenen Person und dem Verantwortlichen besteht.

Artikel 14 findet immer dann Anwendung, wenn Daten aus einer anderen Quelle als der betroffenen Person erhoben werden.

Daher muss im Falle der Bildaufnahme durch Bordkameras die Pflicht zur Benachrichtigung der betroffenen Personen unverzüglich erfolgen und kann nicht von den Ausnahmen des Artikels 14 profitieren.

Am 28. Juli schloss der Europäische Datenschutzbeauftragte (EDPS) seine Untersuchung der Nutzung von Microsoft 365 durch die Europäische Kommission positiv ab.

In einer Stellungnahme wird die deutliche Verbesserung der Einhaltung der Datenschutzbestimmungen bei der Nutzung von Microsoft 365 durch die Kommission hervorgehoben. Außerdem werden die Bemühungen von Microsoft zur Einhaltung der Anforderungen der Kommission, die sich aus der Entscheidung des Europäischen Datenschutzbeauftragten vom März 2024 ergeben, anerkannt und gewürdigt.

Der am 26. Juni veröffentlichte Bericht der Europäischen Agentur für Cybersicherheit (ENISA) bietet technische Leitlinien zur Unterstützung der Umsetzung der NIS2-Richtlinie für verschiedene Arten von Einrichtungen in den Bereichen digitale Infrastruktur NIS2, ICT-Dienstleistungsmanagement und digitale Anbieter.

Es erstellt ein Verzeichnis relevanter europäischer und internationaler Normen und Rahmenwerke (ISO 27001, NIST, ETSI oder CEN).

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

In Deutschland sprach das Düsseldorfer Gericht einer Person 200 Euro Schadensersatz für immaterielle Schäden zu, nachdem es zu einer Datenschutzverletzung gekommen war, weil der Datenverantwortliche es versäumt hatte, die Löschung der von seinem Unterauftragnehmer verarbeiteten personenbezogenen Daten innerhalb der gesetzlich vorgeschriebenen Fristen sicherzustellen.

In Anlehnung an den oben erwähnten Fall Mousse urteilte das Frankfurter Gericht, dass die Deutsche Bahn ihre Kunden rechtswidrig dazu verpflichtet hatte, ihre E-Mail-Adresse oder Mobiltelefonnummer für den Kauf von Fahrkarten anzugeben.

Er war der Ansicht, dass dies für die Ausführung des Vertrags nicht notwendig sei und dass die erteilte Zustimmung nicht aufrichtig und freiwillig erfolgt sei.

Die kroatische Datenschutzbehörde (APD) hat ein Versorgungsunternehmen mit einer Geldstrafe von 320.000 € belegt, weil es die erforderlichen Sicherheitsmaßnahmen bei der Vergabe neuer Passwörter an seine Benutzer nicht umgesetzt und nicht mit der Behörde kooperiert hat.

Die spanische Datenschutzbehörde (APD) hat ein Unternehmen, das Sportzentren betreibt, mit einer Geldstrafe von 96.000 € belegt, weil es obligatorische Gesichtserkennungssysteme für den Ein- und Ausgang der Räumlichkeiten eingeführt hatte, ohne seine Mitglieder vorher zu informieren oder deren Zustimmung einzuholen.

Auch in Spanien verhängte die APD eine Geldstrafe von 1.380.000 € gegen einen Energieversorger, weil dieser irrtümlicherweise einen Gasliefervertrag an den falschen Kunden vergeben und diesem Kunden Gebühren in Rechnung gestellt hatte, was gegen die Grundsätze der Datengenauigkeit und der Sicherheit der Datenverarbeitung verstieß.

Der irische Oberste Gerichtshof entschied, dass Ansprüche auf Entschädigung für seelisches Leid im Zusammenhang mit Kummer, Umbrüchen oder Angstzuständen direkt unter die DSGVO fallen können und dass nationale Bestimmungen, die eine Genehmigung durch eine unabhängige Stelle vor der Geltendmachung von Schadensersatzansprüchen wegen Körperverletzung vorschreiben, nicht anwendbar sind.

Die italienische Wettbewerbsbehörde leitete am 22. Juli eine Untersuchung gegen Meta Platforms wegen der Integration von KI-Diensten in WhatsApp ohne Zustimmung der Nutzer ein.

Zur Erinnerung: Am 23. Mai 2025 wies das Oberlandesgericht Köln einen Antrag auf einstweilige Verfügung gegen Meta bezüglich des Trainings der KI von Meta zurück.

Der Gerichtshof war der Ansicht, dass die Kombination anonymisierter Daten von Facebook und Instagram in einem Trainingsdatensatz keine unzulässige „Verschmelzung“ von Daten im Sinne von Artikel 5 Absatz 2 der Verordnung über digitale Märkte (DMA) darstellt.

Die litauische Datenschutzbehörde (DPA) kam in einem Fall, der zwei Nachbarn betraf, zu dem Schluss, dass die gelegentliche Erhebung personenbezogener Daten mittels einer Drohne zum Zweck der Beweiserhebung für ein Gerichtsverfahren unter die in der DSGVO vorgesehene innerstaatliche Ausnahme fällt.

Die APD gibt an, sich in diesem Punkt auf die EDPB-Leitlinien von 2020 bezogen zu haben.

In Polen gab das Bundesverwaltungsgericht dem Ombudsmann Recht und urteilte, dass die polnische Gesetzgebung, die Richter und Staatsanwälte zur Offenlegung ihrer Zugehörigkeit zu religiösen, gewerkschaftlichen und politischen Organisationen verpflichtet, mit ihren Rechten aus der EU-Charta und der Europäischen Menschenrechtskonvention unvereinbar sei.

Auch in Polen wurde McDonald's Polska Sp. z oo mit einer Geldstrafe von 3.955.000 € belegt, weil das Unternehmen gegen allgemeine Grundsätze der Datenverarbeitung verstoßen hatte, insbesondere weil es keine ausreichenden Maßnahmen zum Schutz personenbezogener Daten ergriffen hatte.

 

In Großbritannien könnte die Regierung unter dem Druck der USA ihre Anordnung zur Einschränkung der fortschrittlichen Datenschutzfunktion von Apple aufgeben.

Der Antrag des Innenministeriums erfolgte auf Grundlage des Investigative Powers Act (IPA), der die britische Regierung ermächtigt, „geheime Anordnungen zu erlassen, die Lieferanten verpflichten, die Verschlüsselung zu umgehen, indem sie Hintertüren in ihre Softwareprodukte einfügen“.

Laut Ars Technica üben US-Beamte, darunter Vizepräsident JD Vance, Druck auf Großbritannien aus, seine Entscheidung zu revidieren. „Das ist etwas, das den Vizepräsidenten sehr verärgert und geklärt werden muss“, sagte ein britischer Beamter dem Bericht zufolge.

WeTransfer, das von vielen Fachleuten und Privatpersonen zum Austausch von Dokumenten genutzt wird, änderte Mitte Juli seine Allgemeinen Geschäftsbedingungen: Das Unternehmen gab bekannt, dass es ab August die Inhalte der Nutzerdaten zum Trainieren seines KI-Systems verwenden würde.

Aufgrund der Reaktionen, die diese Informationen hervorriefen, und der aufgeworfenen Fragen hinsichtlich der Vertraulichkeit der Daten ruderte das Unternehmen in den folgenden Tagen angeblich zurück.

Die Verwendung von ChatGPT kann zur Offenlegung von Daten ohne Wissen der Nutzer führen: Dies geht aus einer Veröffentlichung von Digital Digging vom 31. Juli hervor.

Der Untersuchungsbericht enthält 512 ChatGPT-Konversationen, die mithilfe gezielter Stichwortsuchen öffentlich gemacht wurden und kompromittierende Informationen sowie vertrauliche Daten offenbarten.

Dank der "Teilen"-Funktion haben Nutzer unwissentlich ihre Interaktionen mit ChatGPT öffentlich gemacht und damit die Möglichkeit geschaffen, dass sie von Suchmaschinen indexiert werden können.

Die gemeinsamen Gespräche würden Fälle von Insiderhandel, detaillierte Finanzinformationen über Unternehmen, Geständnisse von Betrug und Beweise für Verstöße gegen Vorschriften betreffen, die alle in Form von dauerhaft zugänglichen öffentlichen Archiven aufbewahrt würden.

In Indien, der Einfluss der Geopolitik auf die digitale Technologie Die IAPP berichtet, dass Nayara Energy, Indiens drittgrößte Raffinerie mit 6.000 Tankstellen, Ende Juli von Microsoft ohne vorherige Ankündigung der Zugriff auf ihre Daten verweigert wurde, obwohl sie ihre Lizenzen vollständig bezahlt hatte.

Rosneft, ein russisches Unternehmen, hält eine Beteiligung von 49,13 % an Nayara Energy. Dieser Schritt dürfte eine Folge der gegen Russland im Zusammenhang mit dem Krieg in der Ukraine verhängten Sanktionen sein.

Ein weiterer Vorfall betrifft den Entzug der vom indischen Nationalen Zentrum für Weltraumförderung und -genehmigung (Indian National Space Promotion and Authorisation Centre) erteilten Betriebsgenehmigung für zwei Satelliten der Asia Satellite Telecommunications Company nach dem 31. März 2026.

Der Hauptaktionär von AsiaSat ist ein Unternehmen im Besitz der chinesischen Regierung.

Diese Entscheidung hat Folgen für einige der größten Unterhaltungssender Indiens, wie Zee und Jiostar, die sich nun nach Alternativen umsehen müssen.

Diese Ereignisse erinnern an die Sperrung des E-Mail-Kontos des Generalanklägers des Internationalen Strafgerichtshofs (IStGH) durch Microsoft im vergangenen Frühjahr.

Diese Blockade war eine direkte Folge der Maßnahmen, die US-Präsident Donald Trump im Februar gegen den Internationalen Strafgerichtshof in Den Haag ergriff, nachdem ein Gremium von IStGH-Richtern Haftbefehle gegen den israelischen Premierminister Benjamin Netanjahu und seinen ehemaligen Verteidigungsminister Joav Gallant wegen Kriegsverbrechen im Gazastreifen erlassen hatte.

Die August-Ausgabe des PL&B International Report enthält einen Artikel von Maria Tzanou, Dozentin für Rechtswissenschaften an der britischen Universität Sheffield und Leiterin des FemTech-Überwachungsprojekts.

Sie wirft Fragen zur Überwachung von Frauen durch Produkte und Dienstleistungen wie Fruchtbarkeits- und Zyklus-Tracking-Apps auf und erklärt, dass es „problematische und oft illegale Datenerfassungspraktiken“ gebe.