News
Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig
Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?
Nach der Entscheidung des Österreichischen Bundesverwaltungsgerichts (BVwG) vom 31. August 2021 (Az.: W256 2227693-1/10E) kann das zumindest nicht pauschal ausgeschlossen werden. Entgegen der Ansicht des Europäischen Datenschutzausschuss (EDSA) ging das Gericht davon aus, dass bei unzulässiger Einholung einer Einwilligung andere Rechtsgrundlagen für die Verarbeitung zumindest in Betracht kommen und geprüft werden müssen.
Hintergrund der Entscheidung war ein Prüfverfahren der österreichischen Datenschutzaufsichtsbehörde gegen ein Unternehmen. Im Rahmen dieser Überprüfung beanstandete die Behörde, dass die vom Unternehmen eingeholte Einwilligung zu Profiling- und Marketingzwecken im Rahmen eines Kundenbindungsprogramms (Sammeln von Treuepunkten) nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Nr. 11 DSGVO und Art 7 DSGVO entspricht und dass infolgedessen die darauf basierende Datenverarbeitung unzulässig sei. Gegen die deshalberlassene Untersagungsverfügung der Behörde hatte das betroffene Unternehmen Beschwerde beim BVwG eingelegt.
In der daraufhin ergangenen Entscheidung des BVwG ging das Gericht davon aus, dass zwar keine gültige Einwilligung durch den Verantwortlichen eingeholt wurde, die Behörde aber zu einer Prüfung möglicher alternativer Rechtsgrundlagen verpflichtet gewesen wäre. Nach Ansicht des Gerichtes sei ein Wechsel der Rechtsgrundlage nicht bereits aufgrund der Datenschutzgrundsätze ausgeschlossen. Auch käme es für die Prüfung der Rechtmäßigkeit nicht darauf an, ob die betroffene Person im Rahmen der Informationen nach Art. 13 DSGVO vollständig über die Rechtsgrundlage informiert wurde. Nach Ansicht des Gerichtes kann, wenn eine Einwilligung auf eine unzulässige Art und Weise eingeholt wurde, die Verarbeitung grundsätzlich weiterhin auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 f) DSGVO) erfolgen, soweit die gesetzlichen Voraussetzungen dafür gegeben sind. Vor allem bei der im Rahmen von Art. 6 Abs. 1 f) DSGVO durchzuführenden Interessenabwägung seien dann aber auch die berechtigten Erwartungen der betroffenen Person zu berücksichtigen. Ein möglicher Verstoß gegen die Informationspflichten aus Art. 13 DSGVO oder die Datenschutzgrundsätze aus Art. 5 DSGVO war nicht Gegenstand des Verfahrens.
Die Entscheidung ist vor allem deshalb interessant, da der EDSA und auch seine Vorgängerinstitution, die Art. 29-Datenschutzgruppe, durchgehend die Ansicht vertreten haben, dass wenn Probleme mit der Gültigkeit der Einwilligung auftreten, keine andere Rechtsgrundlage mehr in Betracht kommen soll (siehe hierzu Rn. 123 der Leitlinie des EDSA zum Thema Einwilligungen). Das Gericht scheint diesbezüglich die Ausführungen des EDSA aber nur unvollständig gelesen zu haben, da es behauptet, dass der EDSA bzw. die Art. 29-Datenschutzgruppe bislang nicht dazu Stellung bezogen hätten, ob im Falle einer ungültigen Einwilligung ein Rückgriff auf sonstige Erlaubnistatbestände möglich ist.
Gerade deswegen stellt das Urteil aber auch eine gute Argumentationshilfe für Verantwortliche im gerichtlichen oder aufsichtsbehördlichen Verfahren dar, wenn im Einzelfall die Einholung einer Einwilligung an den Vorgaben aus Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO scheitern sollte. In diesen Fällen lässt sich unter Berufung auf die Ansicht des Gerichtes gut vertreten, dass eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 f) DSGVO trotz ungültiger Einwilligung rechtmäßig erfolgt sein könnte. Auch wenn dann in der Regel trotzdem ein Verstoß gegen Art. 13 DSGVO anzunehmen sein wird, kann aufgrund des Urteils des BVwG die Verarbeitung des Verantwortlichen im Einzelfall durch eine Aufsichtsbehörde nicht ohne weiteres vollständig untersagt werden.
News
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
GDNG in der Praxis: Zuständigkeiten und Anzeigeverfahren bei länderübergreifender Gesundheitsforschung
Auch wenn verschiedene Fragen rund um das Gesetz noch nicht geklärt sind (wie z. B. die Frage des Verhältnisses zu anderen relevanten Regelungen – insbesondere § 27 BDSG, Datenschutz- und ggf. Krankenhausgesetze der Länder - oder aber ob das GDNG selbst die Anforderungen des Art. 89 DSGVO erfüllt) kommt das Gesetz immer mehr in der Praxis des Gesundheitswesens an. So hat etwa die Datenschutzbehörde des Landes Nordrhein-Westfalen bereits vor über einem Jahr im Rahmen einer Sitzung der Datenschutzkonferenz (DSK) zu Protokoll gegeben, dass zahlreiche Anträge nach dem GDNG erwartet werden (siehe TOP 12, S. 9).
NIS-2-Richtlinie konkretisiert: Was die Durchführungsverordnung 2024/2690 für Cloud-Computing-Dienste und Managed Service Provider bedeutet
Die NIS-2-Richtlinie und das diese umsetzende deutsche BSIG gelten seit dem 16. Januar 2023 sowie seit dem 6. Dezember 2025. Für betroffene Stellen stellt sich in der Praxis eher abstrakt gehaltener Pflichten oft die Frage, wie eine Umsetzung konkret erfolgen muss.
Die NIS-2-Richtlinie sieht in Kapitel VIII die Möglichkeit zum Erlass delegierter Rechtsakte und Durchführungsrechtsakte vor.
Delegierte Rechtsakte (Art. 290 AEUV) ändern oder ergänzen nicht-wesentliche Teile von EU-Normen, während Durchführungsrechtsakte (Art. 291 AEUV) einheitliche Bedingungen für die Anwendung von Rechtsakten schaffen.
Auskunftsansprüche von Beschäftigten nach Kündigung: Welche Ausnahmen greifen?
Erhält ein Arbeitnehmer die Kündigung, folgt häufig ein Auskunftsersuchen nach Art. 15 DSGVO. Wird der Anspruch nicht auf bestimmte Datenverarbeitungen oder Zeiträume beschränkt, sind grundsätzlich sämtliche betreffenden personenbezogenen Daten zu beauskunften – darunter E-Mails, Gesprächsnotizen, Beurteilungen und sonstige auf die Person bezogene Unterlagen. In der Praxis handelt es sich dabei selten um eine datenschutzrechtliche Routineanfrage. Häufig ist das Ersuchen taktisch motiviert: Es dient der Informationsgewinnung für einen anschließenden Kündigungsschutzprozess, dem Aufbau von Verhandlungsdruck oder der Überprüfung interner Untersuchungsmaßnahmen.
OLG Frankfurt: Schmerzensgeld bei Cookie-Einsatz ohne Einwilligung – auch für Drittanbieter
Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.
Umsetzung von Risikomanagementmaßnahmen im Zusammenhang mit der NIS-2-Richtlinie und Rückgriff auf Maßnahmen nach Art. 32 DSGVO
Die Umsetzung der Risikomanagementmaßnahmen nach der NIS-2-Richtlinie und dem BSIG als Umsetzungsgesetz scheint für viele betroffene Organisationen im ersten Moment herausfordernd. Dies liegt häufig daran, dass die eher abstrakt wirkenden Vorgaben wie z.B. „Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen“ Organisationen abschrecken, da nicht auf Anhieb erkennbar ist, was konkret zu tun ist.