Legal Watch Nr. 93 – März 2026. 

 

Zugang zu personenbezogenen Daten: Anerkennung von Rechtsmissbrauch?

Eine kürzlich ergangene Entscheidung des Gerichtshofs der Europäischen Union (EuGH) präzisiert die Bedingungen für das Recht von Einzelpersonen auf Auskunft über ihre personenbezogenen Daten und insbesondere die Umstände, unter denen ein Auskunftsersuchen von einem Datenverantwortlichen als missbräuchlich angesehen werden kann.

Während Artikel 12 der DSGVO den Missbrauch von Auskunftsersuchen mit deren Wiederholung verknüpft, stellte der EuGH am 19. März im Urteil C-526/24 – Brillen Rottler klar, dass dieses Wiederholungskriterium lediglich beispielhaft ist: Die Anzahl der Anfragen ist nicht ausschlaggebend, und ein erstmaliges Auskunftsersuchen kann missbräuchlich sein, wenn die betroffene Person dieses Recht nutzt, um sich einen Vorteil zu verschaffen, beispielsweise um künstlich einen Anspruch auf Schadensersatz gegenüber dem Verantwortlichen zu begründen. In einem solchen Fall liegt ein Rechtsmissbrauch vor.

Die Verweigerung der Beantwortung eines Auskunftsersuchens muss jedoch gemäß der DSGVO die Ausnahme bleiben, und der Datenverantwortliche muss in der Lage sein, die missbräuchliche Absicht des Antragstellers nachzuweisen.

In diesem speziellen Fall musste die verantwortliche Person anhand konkreter Beweise nachweisen, dass die Anfrage nicht dazu diente, die Verarbeitung der Daten zu überprüfen, sondern künstlich die Voraussetzungen für eine Schadensersatzklage zu schaffen.

Es war bekannt, dass der Antragsteller, nachdem er den Datenverantwortlichen seine Daten übermittelt hatte, mehrere Anfragen an diese gerichtet hatte, um Wiedergutmachung zu erlangen.

Das Gericht bekräftigt, dass drei Bedingungen erfüllt sein müssen, damit eine Entschädigung gewährt werden kann:

• Ein Verstoß gegen die DSGVO,
• Schaden
• Und ein kausaler Zusammenhang zwischen den beiden.

Immaterielle Schäden können aus einem Kontrollverlust oder einer Unsicherheit hinsichtlich der Datenverarbeitung resultieren, jedoch muss der Schaden vom Kläger nachgewiesen werden und darf nicht durch das Verhalten des Klägers verursacht worden sein.

In diesem speziellen Fall wurde der Kausalzusammenhang durch das Verhalten der betreffenden Person unterbrochen, die mit dem Ziel handelte, die Voraussetzungen für den Schaden künstlich herbeizuführen.

Sind die drei oben genannten Bedingungen erfüllt, kann eine Verletzung des Zugangsrechts daher einen Anspruch auf Wiedergutmachung begründen, selbst wenn diese Verletzung nicht direkt aus der Datenverarbeitung im engeren Sinne resultiert.

Die Weigerung, auf eine Auskunftsanfrage zu antworten, kann dazu führen, dass der Verantwortliche von einem gutgläubigen Antragsteller einen Schadensersatzanspruch geltend machen kann.

Der Datenverantwortliche, der einen missbräuchlichen Antrag vermutet, muss daher besondere Vorsicht walten lassen und Beweise für diesen missbräuchlichen Charakter sichern, bevor er den Zugriff verweigert. 

Die vom EuGH vorgenommenen Klarstellungen stehen im Einklang mit den Leitlinien, die der Europäische Datenschutzausschuss (EDPB) im Jahr 2022 zu diesem Thema veröffentlicht hat und die zusätzliche Hinweise liefern.

Somit kann die übermäßige Art der Anfragen von den spezifischen Merkmalen des Sektors abhängen, in dem der Datenverantwortliche tätig ist.

„Je häufiger Änderungen an der Datenbank des Datenverantwortlichen vorgenommen werden, desto wahrscheinlicher ist es, dass der betroffene Mensch Zugang zu seinen Daten beantragen kann, ohne dass dies als übermäßig angesehen wird.“

Im Falle wiederholter Anfragen kann der Datenverantwortliche, anstatt den Zugriff zu verweigern, beschließen, der betroffenen Person eine Gebühr in Höhe der Kosten des durch die Anfragen verursachten Verwaltungsaufwands in Rechnung zu stellen.

Abschließend sei darauf hingewiesen, dass die Europäische Kommission mit ihrem Vorschlag für ein digitales Omnibusgesetz auch beabsichtigt, den Verantwortlichen für die Datenverarbeitung mehr Rechtssicherheit zu geben, wenn diese mit Rechtsverletzungen durch die betroffenen Personen konfrontiert werden.

Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) unterstützen zwar in ihrer Stellungnahme vom 10. Februar diesen Wunsch nach Klarstellung, sind aber der Ansicht, dass die Ausübung des Auskunftsrechts zu anderen Zwecken als dem Schutz personenbezogener Daten kein bestimmendes Element für die Frage sein sollte, was einen Missbrauch darstellt… solange die Redlichkeit des Antragstellers nicht in Frage steht.

 

Ein am 24. März veröffentlichter Durchführungserlass zum SREN-Gesetz führt zusätzliche Anforderungen ein. für die ausschließliche Speicherung von Gesundheitsdaten (HDS) im EU- oder EWR-GebietDie CNIL begrüßt diese Anforderungen, da sie darauf abzielen, die Transparenz gegenüber den betroffenen Personen zu erhöhen und die Kontrolle der Gesundheitsdaten durch die Vertragsparteien des Hosting-Vertrags im Hinblick auf das Risiko eines Zugriffs von außerhalb Europas zu stärken.

Generell ist das gesamte staatliche IT-System darauf ausgerichtet, in Richtung souveräner Lösungen zu migrieren.

Eine Woche nach der Ankündigung der Einführung der Kollaborationsplattform LaSuite für die 80.000 Agenten der Krankenversicherung gab die interministerielle Digitaldirektion (DINUM) am 9. April offiziell ihre Absicht bekannt, Windows durch Linux zu ersetzen und noch vor Jahresende auf eine eigenständige Lösung umzusteigen.

Diese Ziele sind konkreter geworden seit dem Seminar vom 8. April, das erstmals Ministerien, öffentliche Betreiber und private Akteure zusammenbrachte, um herauszufinden, auf welche ausländische Software und Dienstleistungen der Staat heute angewiesen ist, um morgen auf sie verzichten zu können.

„Ab diesem Herbst muss jedes Ministerium (und die ihm unterstellten öffentlichen Einrichtungen) einen eigenen Fahrplan zur Reduzierung seiner ausländischen digitalen Abhängigkeiten vorlegen.“

Der digitale Sicherheitsfahrplan des Staates für 2026-2027 wurde Anfang April veröffentlicht.

Es ist Teil der Bemühungen, Regierungsbehörden zur Einhaltung der NIS2-Richtlinie zu bewegen und sie in ihren Übergang zur Post-Quanten-Kryptographie einzubinden. 

„Angesichts der hohen Bedrohungslage und der sich verschlechternden geopolitischen Situation werden die vorrangigen Maßnahmen dargelegt, die die Ministerien im Bereich der digitalen Sicherheit ergreifen müssen: Konsolidierung der Governance, Stärkung des Zugriffsmanagements, Kontrolle der Informationssystemumgebung usw.“

Die CNIL veröffentlichte am 3. April ihre Prioritätskontrollthemen für 2026.  Sie wird sich konzentrieren auf

• Werbung,
• Das einheitliche Wählerverzeichnis
• Sportverbände.

Weitere Ankündigungen zum Thema Cybersicherheit erfolgen mit der Veröffentlichung des Jahresberichts im Mai.

Sie veröffentlichte außerdem ihr Arbeitsprogramm für Fachkräfte im Unterstützungsbereich.was betonen wird

• Der Einsatz von KI,
• Gesundheitsdaten,
• Bedingungen des Zugangsrechts
• Cybersicherheit.

Auf ihrer Website findet sich außerdem ein neuer Leitfaden zu den Aufbewahrungsfristen für Personaldaten. In einer Veröffentlichung vom 20. März bekräftigt die CNIL schließlich die sehr strengen Auflagen für Tonaufnahmen durch Videoüberwachungskameras.

Während der Hackerangriff auf die regionalen Gesundheitsbehörden (ARS) im September 2025 offiziell bestätigt wurde, nimmt die Situation heute eine alarmierende Wendung. Die Hackergruppe DumpSec bekennt sich zu dem Angriff und verkauft nun eine riesige Datenbank aus dem französischen Gesundheitssystem.

Mehr als 35 Millionen Patienten wären betroffen, und die Daten würden sensible Informationen über Behandlungspfade enthalten.

Die Datenschutzverletzung ist auf den Diebstahl von Zugangsdaten für medizinisches Fachpersonal auf den Servern von GRADeS (regionale E-Health-Unterstützungsgruppe) zurückzuführen.

Der EuGH hat am 19. März ein Urteil gefällt, das die Bedingungen für die Erhebung biometrischer Daten durch die französische Polizei betrifft.

Im Fall C 371/24 – Comdribus entschied das Gericht, dass nationale Rechtsvorschriften mit der europäischen Richtlinie „Polizeijustiz“ unvereinbar sind, wenn sie einer Strafverfolgungsbehörde die systematische Verarbeitung biometrischer Daten von Verdächtigen gestatten, ohne dass die zuständige Behörde die absolute Notwendigkeit und Verhältnismäßigkeit dieser Verarbeitung begründen muss.

Eine Person, die die Erfassung ihrer biometrischen Daten ablehnt, kann nur dann sanktioniert werden, wenn die geplante Datenerfassung diese Bedingungen erfüllt, wobei die zuständigen Behörden die Umstände zum Zeitpunkt der Entscheidung über diese Datenerfassung berücksichtigen.

Die Motivation für die Datenerhebung ist notwendig, damit die betroffene Person ihr Recht auf einen wirksamen Rechtsbehelf ausüben kann.

In diesem speziellen Fall wurden während einer Aktion von Klimaaktivisten in Paris im Mai 2020 mehrere Teilnehmer, darunter auch der Beschwerdeführer, von den Strafverfolgungsbehörden wegen der Organisation einer nicht angemeldeten Demonstration festgenommen.

Nachdem die Beschwerdeführerin in Polizeigewahrsam genommen worden war, weigerte sie sich, Fingerabdrücke abzugeben und sich fotografieren zu lassen.

Der Innenminister erklärte am 3. April im Senat während einer Fragestunde an die Regierung, dass der Einsatz von Gesichtserkennungssoftware durch die Strafverfolgungsbehörden auf ihren Neo-Identitätskontrollgeräten nicht rechtmäßig sei, außer im Rahmen einer Untersuchung unter der Leitung eines Richters.

Der Minister teilte mit, dass die CNIL sich derzeit mit diesem Thema befasse.

Der Chef eines Cybersicherheitsunternehmens, das das französische Tech 2030-Programm gewonnen hatte, wurde Ende März im Rahmen einer großangelegten europäischen Razzia gegen eine Kinderpornografie-Plattform verhaftet.

Der Ingenieur, der ein Start-up-Unternehmen leitet, das sich auf die Antizipation von Cyberbedrohungen spezialisiert hat – zu dessen Kunden das FBI und die Europäische Kommission gehören – steht im Verdacht, Bilder und Videos von Kinderpornografie über eine Darknet-Plattform für Kinderpornografie erworben zu haben.

Im Rahmen einer koordinierten Operation wurden in ganz Europa mehr als 200 Verhaftungen durch die Strafverfolgungsbehörden vorgenommen, dank Kryptowährungszahlungen, die von den Ermittlern zurückverfolgt und de-anonymisiert wurden.

 

Europäische Institutionen und Gremien

Am 11. März stimmte das Europäische Parlament der Verlängerung der (Ausnahme-)Regeln zu, die die Kontrolle der elektronischen Kommunikation („Chat-Kontrolle“) ermöglichen. gleichzeitig ihren Umfang einschränken.

Anstatt eine generelle Genehmigung für Scantechnologien zu erteilen, forderte das Parlament, dass diese Instrumente nur gegen bekannte Verdächtige und ausschließlich zur Aufdeckung bekannter Kinderpornografie eingesetzt werden.

Google, Meta, Microsoft und Snap (Chat) bekräftigten unterdessen in einer gemeinsamen Pressemitteilung, „dass sie weiterhin freiwillige Maßnahmen in Bezug auf ihre betroffenen zwischenmenschlichen Kommunikationsdienste ergreifen werden“.

Die interinstitutionellen Verhandlungen dauern noch an: Die zypriotische Ratspräsidentschaft strebt an, das Projekt bis Juli 2026 abzuschließen, und die Angelegenheit wird derzeit im Rahmen des Trilogs zwischen Parlament, Rat und Kommission verhandelt.

Am 26. März nahmen die Mitglieder des Europäischen Parlaments in einer Plenarsitzung Stellung zur KI-Komponente des Digital Omnibus-Pakets.

Sie stimmten dafür, das Inkrafttreten mehrerer Bestimmungen der KI-Verordnung zu verschieben.

KI-Systeme, die biometrische Daten beinhalten und in kritischen Infrastrukturen, im Bildungsbereich, bei der Beschäftigung, bei grundlegenden Dienstleistungen, bei der Strafverfolgung, im Justizwesen und im Grenzmanagement eingesetzt werden, würden daher vom August 2026 auf den 2. Dezember 2027 verschoben.

Die Parlamentarier schlagen vor, die Einhaltung der Vorschriften für andere Systeme, die der sektoralen Regulierung unterliegen (Sicherheits- und Marktüberwachung), bis zum 2. August 2028 zu verschieben.

Die Trilogverhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat zielen auf eine vorläufige Einigung über den Text bis zum 28. April ab.

Es ist erwähnenswert, dass die Kernprinzipien der Verordnung bereits in Kraft getreten sind und der Aufsicht der CNIL unterliegen.

Am 24. März stellte die Europäische Kommission einen Cyberangriff fest, der die Cloud-Infrastruktur betraf, auf der ihre Website auf der Plattform Europa.eu gehostet wurde. Dieser Angriff erwies sich als schwerwiegender als zunächst in der Pressemitteilung angegeben.

Die Daten betreffen 71 Kunden des Hosting-Anbieters Europa. CERT-EU, der Datenschutzdienst der EU, bestätigt, dass die Datenlecks Namen, Benutzernamen, E-Mail-Adressen und E-Mail-Inhalte enthalten.

340 GB an Daten und fast 52.000 E-Mail-Dateien wurden im Darknet veröffentlicht.

Zwei wichtige EuGH-Urteile vom 19. März, Brillen Rottler und Comdribus, wurden bereits im Leitartikel und in den Nachrichten aus Frankreich besprochen.

Das Europäische Konsortium für digitale Infrastruktur „Digital Commons“ (EDIC) Nimmt konkrete Formen an mit dem Beitritt neuer Länder und dem Start erster Projekte, darunter ein Pilotprojekt für einen europäischen Staatsfonds für Technologie.

Ziel des Konsortiums ist es, die Mitgliedstaaten der Europäischen Union bei der Entwicklung offener digitaler Infrastrukturen zu unterstützen und die digitale Souveränität Europas zu stärken.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Ein deutsches Gericht hat geurteilt, dass Meta über seine Funktion „Freunde finden“ auf Facebook die personenbezogenen Daten nicht registrierter Personen unrechtmäßig verarbeitet hat.

Darüber hinaus hätte das Unternehmen keine Rechtsgrundlage, um personenbezogene Daten von Nutzern seiner eigenen Plattform zu Werbezwecken zu verarbeiten.

In einem aktuellen Fall entschied ein österreichisches Gericht, dass die Datenschutzbehörde zu Recht die Bearbeitung einer Beschwerde nach Artikel 57(4) DSGVO abgelehnt hatte, nachdem eine Person versucht hatte, den Beschwerdemechanismus zu missbrauchen, um die Beitreibung einer Forderung zu verzögern.

Die belgische Datenschutzbehörde (APD) war der Ansicht, dass ein Arbeitgeber dem Auskunftsersuchen eines Arbeitnehmers ausreichend nachgekommen sei, indem er dem Arbeitnehmer seine Daten in Form einer Reproduktion zur Verfügung stellte, anstatt die betreffenden E-Mails vollständig zu extrahieren.

In Finnland erteilte die Datenschutzbehörde einer Kreditratingagentur eine Warnung wegen unsachgemäßer Bearbeitung von Datenzugriffsanfragen.

Der Datenverantwortliche verwies die betroffenen Personen ohne weitere Nachfragen auf sein Datenzugriffsportal und wies darauf hin, dass für jede Anfrage, die mehr als einmal innerhalb eines Zeitraums von zwölf Monaten gestellt wird, eine Gebühr erhoben wird.

Die spanische Datenschutzbehörde (APD) hat einen Anbieter von digitalen Identifizierungs- und Altersverifizierungsdiensten (YOTI) mit einer Geldstrafe von 950.000 € belegt, weil dieser biometrische Daten ohne gültige Einwilligung erhoben hatte (fehlende Granularität und Schutzmaßnahmen in Bezug auf Daten von Minderjährigen) und die Aufbewahrungsfrist für diese Daten nicht begrenzt hatte.

Die belgische Datenschutzbehörde (APD) verhängte gegen Hyundai eine Geldstrafe von 2.000.000 €, nachdem ein Cyberangriff die Daten von über einer Million Menschen offengelegt hatte, darunter Namen, Kontaktdaten und Fahrzeugidentifikationsnummern. Die Behörde stellte fest, dass der Datenverantwortliche kein angemessenes Sicherheitsniveau gewährleistet hatte, insbesondere weil die betreffenden Daten nicht verschlüsselt waren.

Schließlich verhängte die belgische Datenschutzbehörde (APD) eine besonders hohe Geldstrafe (10 Millionen Euro) gegen den Flughafenbetreiber Aena wegen der Art und Weise, wie dieser sein Gesichtserkennungssystem für das Boarding implementiert hatte. Das System ermöglicht es Passagieren, allein durch Blick in eine Kamera einzusteigen. Die Behörde stellte fest, dass dieses biometrische System ohne vorherige Datenschutz-Folgenabschätzung eingeführt wurde.

Die italienische Datenschutzbehörde (APD) hat eine Bank mit einer Geldstrafe von 31.800.000 € belegt, weil sie keine ausreichenden Sicherheitsmaßnahmen ergriffen hatte, um zu verhindern, dass ein Mitarbeiter auf die Finanzdaten von mehr als 3.500 Personen zu Zwecken zugegriffen hat, die nicht mit seinen Aufgaben in Zusammenhang standen.

Der Datenverantwortliche hat es außerdem versäumt, die APD und die betroffenen Personen rechtzeitig über diese Datenschutzverletzung zu informieren.

Eine weitere Bank wurde mit einer Geldstrafe von 17.628.000 € belegt, weil sie die Konten von 275.000 Kunden ohne deren Zustimmung an ihre Tochtergesellschaft übertragen hatte. Die Bank hatte mithilfe von Profiling Personen ausgewählt, die als „vorwiegend digitale“ Kunden galten.

In Luxemburg hob der Oberste Verwaltungsgerichtshof eine gegen Amazon verhängte Geldstrafe von 746 Millionen Euro auf. Die Entscheidung stellt die unrechtmäßige Verarbeitung personenbezogener Daten zu zielgerichteter Werbung nicht in Frage, verpflichtet die Datenschutzbehörde (APD) jedoch, den Verstoß und die Verhältnismäßigkeit erneut zu prüfen, bevor neue Sanktionen verhängt werden.

In einem Eilverfahren untersagte ein Gericht in den Niederlanden der Social-Media-Plattform X die Produktion und Verbreitung nicht einvernehmlicher intimer Inhalte und Kinderpornografie über Grok. Das Gericht untersagte X außerdem, die Funktionen von Grok anzubieten, solange diese Verstöße andauern.

Die rumänische Datenschutzbehörde (APD) hat Renault Romania mit einer Geldstrafe von 637.262,50 RON (125.000 €) belegt, weil das Unternehmen nach einer Datenschutzverletzung im Zusammenhang mit einer von einem Unterauftragnehmer verwalteten Anwendung keine angemessenen Sicherheitsmaßnahmen ergriffen hat, wodurch personenbezogene Daten auf einer Online-Plattform veröffentlicht wurden.

 

Brasiliens Gesetz zum Schutz von Minderjährigen im Internet ist offiziell in Kraft getreten, und damit einher ging ein Dekret des Justizministers, das sich direkt gegen die Gestaltungsmethoden von Technologiekonzernen richtet, mit denen diese die Aufmerksamkeit junger Menschen gewinnen wollen.

Die Verordnung verlagert den Fokus bei der Online-Sicherheit von Kindern von der reaktiven Inhaltsmoderation hin zur proaktiven Regulierung der Plattformarchitektur. Dazu gehören Beschränkungen für unendliches Scrollen, Autoplay, manipulative Benachrichtigungen, gezielte Werbung durch Profiling, die sich an Minderjährige richtet, sowie strengere Anforderungen an die Altersverifizierung.

Anfang April veröffentlichte das chinesische Ministerium für Industrie und Informationstechnologie zusammen mit acht weiteren Ministerien die „Experimentellen Maßnahmen zur ethischen Bewertung und Bereitstellung von Technologien der künstlichen Intelligenz“.

Das Dokument gibt einen Überblick darüber, was China unter „ethischer KI-Governance“ versteht und welche Arten von Richtlinien und technischen Maßnahmen es für notwendig erachtet, um der Verharmlosung von Ethik durch Marketingstrategien entgegenzuwirken, die respektvolle Dienstleistungen versprechen, in Wirklichkeit aber nicht den KI-Vorschriften entsprechen.

Am 24. April wurde Meta von einer Jury im US-Bundesstaat New Mexico zu einer Zivilstrafe in Höhe von 375 Millionen US-Dollar verurteilt. Das Gericht befand, dass das Unternehmen Kinder auf seinen Plattformen nicht ausreichend geschützt hatte. Die Strafe resultierte aus Verstößen gegen ein Gesetz gegen unlautere Geschäftspraktiken.

Am 8. April lehnte ein Bundesberufungsgericht in Washington, DC, die Blockierung der Aufnahme des KI-Unternehmens Anthropic in die nationale Sicherheits-Blacklist des Pentagons ab – ein Sieg für die Trump-Regierung.

Ein anderes Berufungsgericht fällte jedoch in einem separaten, von Anthropic angestrengten Gerichtsverfahren eine gegenteilige Entscheidung.

Das Unternehmen, Entwickler des KI-Assistenten Claude, behauptet, der Verteidigungsminister habe seine Befugnisse überschritten, indem er das Unternehmen als Risiko für die nationale Sicherheitslieferkette eingestuft habe.

Anthropic hatte sich geweigert, bestimmte Beschränkungen für die Verwendung seiner Produkte im Hinblick auf deren Einsatz durch das US-Verteidigungsministerium aufzuheben.