Datenschutz-Newsletter März 2025

08.04.2025, 12:00 Uhr

Datenübermittlung in die USA bei bestehender Data Privacy Framework-Zertifizierung derzeit noch zulässig

Die Datenübermittlung in die USA ist derzeit durch das Data Privacy Framework (DPF)- geregelt. Unternehmen aus dem Europäischen Wirtschaftsraum (EWR) können hiernach unproblematisch Daten an amerikanische Unternehmen übermitteln, die über eine DPF-Zertifizierung verfügen. Wichtige Firmen wie Google, Apple, Microsoft und Amazon sind zertifiziert. Das Abkommen wurde u.a. durch die Schaffung eines unabhängigen Kontrollgremiums zur Rechtsdurchsetzung von europäischem Datenschutzrecht in den USA ermöglicht. Die neue US-Administration unter Donald Trump hat das Gremium jedoch per Dekret weitgehend entmachtet. Es ist möglich, dass die EU-Kommission daher bei einer datenschutzrechtlichen Neubewertung des DPF zum Ergebnis kommt, dass das Abkommen keinen Bestand mehr hat. Wenn das Abkommen wegfällt, hat dies gravierende Folgen für den Einsatz US-amerikanischer Anbieter. Zwar könnte man auf die Idee kommen, zur Datenübertragung wieder die EU-Standarddatenschutzklauseln heranzuziehen. Es ist aber fraglich, wie eine dann zwingend durchzuführende Datenschutzfolgeabschätzung positiv ausfallen kann, wenn der Datenschutzstandard in den USA nicht mehr gewährleistet ist.

Sie sollten daher prüfen, mit welchen US-Dienstleistern Sie zusammenarbeiten und ggf. bereits jetzt mögliche Alternativen in Betracht ziehen.

Facebook-BGH-Urteil hat Auswirkungen für deutsche Unternehmen – Abmahnungen und Wettbewerbsklagen bei Datenschutzverstößen möglich

Das BGH-Urteil (Az.: I ZR 186/17) betraf Facebooks datenschutzwidrigen Umgang mit weitreichenden Datenverarbeitungen von privaten Daten durch Onlinespiele-Anbieter, die für Nutzer kaum erkennbar waren. Es hat jedoch auch Folgen für deutsche Unternehmen: Datenschutzverstöße sind nun direkt durch Verbraucherschutzvereine, Verbraucherzentralen und Wettbewerbsverbände abmahnbar und gerichtlich sanktionierbar. Ob auch Konkurrenten klagen können, bleibt offen.

Diese Vereine sprechen Abmahnungen zumeist gegen vorrangig öffentlich einsehbare Verstöße aus, die von außen leicht recherchierbar sind. Typische Abmahngründe könnten fehlende Datenschutzerklärungen, fehlerhafte Cookie-Banner, das Vorenthalten von wesentlichen Informationen zur Datenverarbeitung und fehlerhafte Einwilligungserklärungen sein. Ob auch weitere Datenschutzverstöße betroffen sind, wie unzureichende technische und organisatorische Maßnahmen (TOMs), ließ das Gericht offen.

Sollten Sie eine solche Abmahnung erhalten, setzen Sie sich umgehend mit uns in Verbindung, bevor Sie weitere Schritte unternehmen. Wir unterstützen Sie dabei, die Abmahnung abzuwehren und künftige Verstöße zu vermeiden.

Urteil des Bundesverwaltungsgerichts: Verarbeitung der Kontaktdaten von Zahnarztpraxen zum Zweck der Telefonwerbung ohne (mutmaßliche) Einwilligung unzulässig

Telefonvertrieb gegenüber Unternehmen ist eine gängige Praxis. Ein Telefonvertrieb ohne vorherigen Kontakt („Kaltakquise“) ist jedoch nach einem Urteil des Bundesverwaltungsgerichts nur in Ausnahmefällen zulässig. Ein Unternehmen hatte aus öffentlich zugänglichen Quellen wie Impressen, Telefonbüchern und Internetseiten Namen, Anschrift und Telefonnummer von Zahnärzten recherchiert und bei den Betroffenen wegen des Ankaufs von Edelmetallen angerufen. Das werbende Unternehmen stützte sich darauf, dass der jeweilige Zahnarzt wegen der Veröffentlichung seiner Kontaktdaten eine mutmaßliche Einwilligung in die Anrufe gegeben habe. Eine gegen diese Form der Akquise gerichtete Untersagungsverfügung der saarländischen Datenschutzbehörde hat das Bundesverwaltungsgericht jetzt in der Revision bestätigt. Eine Veröffentlichung von Telefonnummern und der Gewährung einer Anrufmöglichkeit stelle nach Ansicht des Bundesverwaltungsgerichts keine mutmaßliche Einwilligung in die Nutzung der Daten für Telefonmarketing dar, sondern solle die Erreichbarkeit für Patienten gewährleisten.

Unternehmen, die ihre Produkte durch Telefonmarketing vertreiben und dabei öffentliche Informationen wie Rufnummern recherchieren oder recherchieren lassen, sollten ihren Vertrieblern klare Handlungsanweisungen geben und den Vertriebsweg rechtlich absichern.

Fortsetzungsbeitrag: Wann ist eine Kennzeichnung von KI-generierten Texten notwendig?

Auch KI-generierte Texte müssen nur unter bestimmten Voraussetzungen nach der KI-Verordnung als KI-generierter Inhalt gekennzeichnet werden. Eine generelle Kennzeichnungspflicht besteht hingegen nicht. Die Kennzeichnungspflicht für KI-generierte Texte ergibt sich aus Art. 50 Abs. 4 S. 2 der KI-Verordnung (AI ACT – Verordnung (EU) 2024/1689). Sie gilt für Texte, die von KI erzeugt oder manipuliert wurden und anschließend mit dem Zweck veröffentlicht wurden, die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren. Die Regelung soll also insbesondere vor KI-generierten Fake-News schützen, die zu einer Falschinformation gegenüber Endnutzern führen können.

Etwas anderes gilt, wenn die KI-generierten Inhalte einer menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und eine natürliche Person die redaktionelle Verantwortung für die Veröffentlichung der Inhalte trägt. Wenn Unternehmen also KI-Dienste wie ChatGPT, Microsoft Copilot, Google Gemini oder DeepL Write nutzen, um Texte zu erzeugen oder zu bearbeiten und diese durch einen Mitarbeiter manuell veröffentlicht werden, entfällt für diese Inhalte die Kennzeichnungspflicht des KI-Inhaltes. In dem Fall übernimmt das Unternehmen bereits wegen der erfolgten redaktionellen Prüfung der Inhalte die Verantwortung für die Texte. Wer inhaltlich Verantwortliche Person ist, ergibt sich in der Regel aus dem Impressum der Webseite oder Social-Media-Seite.

Verkürzung der Aufbewahrungsfristen für Buchungsbelege im Steuer- und Handelsrecht durch das Vierte Bürokratieentlastungsgesetz kann zu Löschungspflicht im Datenschutzrecht führen

Mit dem Vierten Bürokratieentlastungsgesetz (BEG IV) ist die Aufbewahrungsfrist für Buchungsbelege von 10 auf 8 Jahre verkürzt worden. Die Frist beträgt für Unterlagen, deren Aufbewahrungsfrist in der bis einschließlich 31.12.2024 geltenden Fassung noch nicht abgelaufen ist, grundsätzlich nur noch 8 Jahre. Buchungsbelege sind insbesondere Rechnungen, Lieferscheine, Quittungen, Bankauszüge oder Buchungsanweisungen. Für andere Geschäftsunterlagen bleibt es bei den bisherigen Fristen. Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte oder die Eröffnungsbilanz etwa, sind weiterhin 10 Jahre aufzubewahren. Alle sonstigen Unterlagen 6 Jahre.

Da Buchungsbelege oft personenbezogene Daten wie den Namen des Rechnungsausstellers, Sachbearbeiters enthalten, sind die Vorgaben der DSGVO hinsichtlich einer zulässigen Archivierung zu beachten. Solange eine steuerliche Aufbewahrungspflicht besteht, liegt darin auch die datenschutzrechtliche Rechtsgrundlage für die Archivierung gemäß Art. 6 Abs. 1 lit. c DSGVO. Nach Ablauf der steuerlichen Aufbewahrungsfrist greift jedoch das Prinzip der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO, wodurch eine Löschungspflicht entsteht – es sei denn, eine weitere Rechtsgrundlage aus dem Datenschutzrecht, wie Art. 6 Abs. 1 lit. f DSGVO, also überwiegende berechtigte Interessen, rechtfertigt die weitere Archivierung. Ein überwiegend berechtigtes Interesse liegt beispielsweise vor, wenn sich der Abgabenpflichtige in einem steuerlichen Rechtsstreit befindet. Auch der Betroffene, dessen personenbezogene Daten auf den Belegen vorhanden sind, kann ein Recht auf Löschung gemäß Art. 17 DSGVO haben und durch ein Auskunftsersuchen eine zu lange erfolgte Archivierung der Belege offenlegen. Daher empfiehlt es sich zu prüfen, ob die weitere Archivierung noch zulässig ist. Ist dies nicht der Fall, sind die Daten zu löschen.

Die wachsende Bedrohung durch Invoice Fraud

Bei Invoice Fraud handelt es sich um eine moderne Form des Rechnungsbetrugs, bei der sich die Täter häufig über ausgespähte Zugangsdaten Zugang zum E-Mail-Postfach des Empfängers verschaffen. Mit diesen Zugangsdaten können sie E-Mails und deren Anhänge einsehen und verändern. In der Folge erhalten Unternehmen täuschend echt aussehende Rechnungen oder E-Rechnungen, bei denen jedoch die Kontoverbindung meist zugunsten eines ausländischen Kontos ausgetauscht wurde. Zahlt das Unternehmen dann auf diese Rechnung, wird die ursprüngliche Rechnung nicht beglichen. Die Zahlung auf das falsche Konto kann oft nicht mehr zurückgebucht werden, weil sie erst später bei der ersten Mahnung auffällt. Erst im Nachhinein stellt sich oft heraus, dass die Bankverbindung manipuliert wurde. Häufig bieten die Betrüger auch einen Skonto-Rabatt auf die Rechnung an, was die Finanzabteilung zusätzlich verleiten kann, die Rechnung schnell und ohne gründliche Prüfung zu begleichen.

Rechtlich gesehen erlischt die eigentliche Forderung durch die Zahlung nicht. Das OLG Schleswig entschied in einem Fall (Az. 12 U 9/24) jedoch, dass die Forderung trotz Zahlung an das Betrügerkonto erlosch. Das rechnungsstellende Unternehmen hatte seine Daten nicht ausreichend geschützt, da es keine Ende-zu-Ende-Verschlüsselung beim E-Mail-Versand nutzte. Dies sei aber bei Rechnungen mit hohem finanziellem Risiko erforderlich. Die Rechnung musste vom Rechnungsempfänger im Ergebnis nicht erneut bezahlt werden. Die Entscheidung ist jedoch rechtlich umstritten und kann nicht ohne weiteres auf vergleichbare Fälle übertragen werden.

Rechnungsversender sollten also sicherstellen, dass E-Mails zumindest nur mittels Transportverschlüsselung TLS 1.3 versendet werden, um die Sicherheit des E-Mail-Versandes zu gewährleisten. Rechnungsempfänger sollten Bankverbindungen kritisch hinterfragen und bei Zweifeln auf Plausibilität prüfen lassen.