Dr. Datenschutz Shortnews im April 2025 – KW16

Im Bereich Datenschutz einiges getan. Neue Entwicklungen und Entscheidungen haben sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen gestellt. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft geprägt haben und Sie erfahren alles Wissenswerte, um auf dem neuesten Stand zu bleiben.

270.000 Samsung-Daten aus Deutschland tauchen im Darknet auf

Die Daten werden zum Preis von acht Credits, was etwa zwei Euro entspricht, im Darknet angeboten. Bereits 2021 wurden Login-Daten eines Mitarbeiters einer Firma, welche auch den Zugang zum Service-Ticket-System von Samsung in Deutschland anbietet, mithilfe von der Malware-Software Infostealer gestohlen. Die Zugangsdaten wurden seither nicht geändert und konnten so nun für den massiven Datendiebstahl ausgenutzt werden. Bei den entwendeten Daten handelt es sich um E-Mail-Adressen, Namen, Anschriften, Bestellinformationen und interne Kommunikation von Kunden, vor allem aus Kundeninteraktionen aus dem Jahr 2025. Kriminelle können mit den gestohlenen Daten unter anderem gezielte Phishing-Kampagnen durchführen, bei denen sie sich z.B. als Samsung ausgeben, um die Betroffenen zur Preisgabe weiterer, insbesondere auch sensibler Informationen zu bewegen.

Bedeutung für die Praxis:

• Solche Vorfälle zeigen, wie wichtig es für Unternehmen ist, geeignete Sicherheitsmaßnahmen zu implementieren, um Datenlecks zu verhindern. Der hier begangene Datendiebstahl wurde durch unzureichende Pflege von Zugangsdaten und fehlende Sicherheitsvorkehrungen verursacht. Der Vorfall verdeutlicht zudem, wie wichtig nicht nur die eigene, sondern auch die regelmäßige Überprüfung von Dienstleistern im Hinblick auf Datenschutz und Datensicherheit ist. Samsung Kunden sollten jetzt verstärkt auf verdächtige E-Mails, Anrufe oder Nachrichten achten.

Hilfreiche Links:

• Spam-Mails: Identifizierung und Schutz
• Die verheerenden Folgen von Datenmissbrauch
• Samsung und Europcar: Hunderttausende Kundendaten im Darknet

Unterschiede zwischen Copilot Chat und Microsoft 365 Copilot

Microsoft bietet seinen KI-Dienst „Copilot“ neben der Integration in sämtliche 365-Dienste auch als „Copilot Chat“ an. Dieser ist ohne zusätzliche Lizenz von Microsoft 365-Usern verwendbar. Im Vergleich zur Microsoft 365 Copilot ist Copilot Chat ein einfacher Chatbot, der im Browser verfügbar ist. Auch für Copilot Chat gilt die „Enterprise Data Protection“. Demnach werden über Copilot verarbeitete Daten durch verschiede Maßnahmen gesichert – z.B. dürfen die Inputs nicht für das Training der KI verwendet werden. Bislang ist der Copilot Chat nur im Edge-Browser nutzbar. Eine separate Freischaltung der Copilot Chat-Funktionen durch einen Administrator ist nicht notwendig, sodass viele Unternehmen den KI-Dienst schon nutzen, ohne es zu wissen. Dadurch entstehen potenzielle Risiken. So werden z.B. durch die Funktion der „Webanfragen“ Eingaben in Copilot und Copilot Chat abgewandelt und als Suchanfrage an Bing weitergeleitet. Diese Eingaben in die Webanfragen-Funktion sind nicht über den AV-Vertrag von Microsoft abgegolten und werden daher von Microsoft als Verantwortlichem verarbeitet.

Bedeutung für die Praxis:

• Es ist wichtig, dass sich jedes Unternehmen das Copilot einsetzt prüft, welche Funktionen ermöglicht werden und sich mit den damit einhergehenden potentiellen Risiken auseinandersetzt, diese minimiert, dokumentiert und auch die Belegschaft hinreichend sensibilisiert.

Hilfreiche Links:

• Künstliche Intelligenz – Was Arbeitgeber beachten müssen
• Datenschutz & Microsoft 365: DSGVO-konformer Einsatz möglich?
• Microsoft Copilot im Unternehmen

EuGH: Datenberichtigung bei Transidentität ohne Nachweis einer Operation

Im Jahr 2014 hatte eine Person in Ungarn die Zuerkennung der Flüchtlingseigenschaft beantragt. Bei Eintragung in das von der Ausländerbehörde geführte Flüchtlingsregister wurde die Person gemäß den Bestimmungen des Asylgesetzes als Frau eingetragen. Im Jahr 2022 berief sich die Person auf Transidentität und stellte den Antrag nach Art. 16 DSGVO auf Berichtigung der Geschlechtsangabe und legte entsprechende Atteste vor. Diesen zufolge wurde der Betroffene als Frau geboren, hat aber eine männliche Geschlechtsidentität. Die Behörde lehnte den Antrag mit der Begründung ab, dass keine geschlechtsangleichende Operation nachgewiesen wurde, wie es die geltende Verwaltungspraxis verlange.  Der EuGH entschied nun, dass ein solcher Nachweis nicht verlangt werden dürfe. Das Recht aus Art. 16 DSGVO darf nur durch Gesetz und nicht durch Verwaltungspraxis eingeschränkt werden (Art. 23 Abs. 1 DSGVO). Darüber hinaus würde die Pflicht einer Operation die Grundrechte der EU-Grundrechtecharta und der EMRK. Zudem habe der EGMR bereits entschieden, dass die Anerkennung der Geschlechtsidentität einer Transperson nicht davon abhängig gemacht werden dürfe, dass sich diese Person einer Operation unterziehe.

Bedeutung:

Das Urteil zeigt, wie wichtig der Gesetzesvorbehalt in der DSGVO für Beschränkungen der Rechte aus Kapitel III der DSGVO ist. Verwaltungspraktiken dürfen die gewährten Grundrechte nicht unterlaufen.

Hilfreiche Links:

• EuGH, Urteil vom 13.03.2025 – C-247/23
• EGMR, Urteil vom 19.01.2021 – CE: ECHR:2021:0119JUD000214516
• Recht auf Berichtigung: Unrichtige Daten korrigieren lassen 
  

Urteil des Österreichischen BVwG: Keine gemeinsame Verantwortlichkeit von Mutter- und Tochtergesellschaft

Im zugrundeliegenden Fall gründete eine Konzernmutter eine Tochtergesellschaft eigens für den Zweck der Durchführung eines Kundenbindungsprogramms. Diese Tochtergesellschaft betrieb das Programm sodann eigenständig. Bei der Registrierung zur Teilnahme an dem Programm wurden die Kunden in der Datenschutzerklärung darauf hingewiesen, dass mit ihrer Einwilligung deren Stammdaten und Einkaufsdaten zur personalisierten Werbung verarbeitet würden. Die österreichische Datenschutzbehörde leitete hiergegen ein Prüfverfahren ein und verhängte gegen die Tochtergesellschaft eine Geldbuße von 2 Mio. Euro wegen rechtswidriger Datenverarbeitung aufgrund unwirksamer Einwilligungen. Darüber hinaus wurde gegen die Muttergesellschaft eine Geldbuße von 8 Mio. Euro verhängt, da sie es unterlassen habe, die Einhaltung der datenschutzrechtlichen Bestimmungen konzernweit sicherzustellen. Das in der Folge mit dem Fall befasste Gericht lehnte eine gemeinsame Verantwortlichkeit, wie es die beklagte Muttergesellschaft anführte, ab. Es begründete, dass zwar der Mutterkonzern, in die strategische Konzeptionsphase involviert gewesen sei, dass aber Tochtergesellschaft das Kundenbindungsprogramm vollends eigenständig durchführte. Damit endete die Beteiligung der Muttergesellschaft mit der zweckmäßigen Gründung der Tochtergesellschaft und es fehlte damit nach Ansicht des Gerichts an einer gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO. Die Geldbußen ergeben sich daher aus den einzelnen Versäumnissen der Gesellschaften. Die Tochtergesellschaft hatte die Einwilligungen der Kunden nicht hinreichend freiwillig und transparent gem. Art. 4 Nr. 11 und Art. 7 DSGVO eingeholt und der Mutterkonzern hatte nicht sichergestellt, dass Datenverarbeitungen im Konzern angemessen und sicher durchgeführt werden müssen.

Bedeutung:

Der Fall unterscheidet zwischen Konzernverbindung im operativen Geschäft und strategischen Vorgaben in der Gründungsphase. Der ÖBVwG grenzt die vorliegende Konstellation ausdrücklich zu früheren EuGH-Urteilen ab und betont, dass in den dortigen Fällen eine koordinierte, bewusste Zusammenarbeit gegeben war. Daraus folgt, dass eine weite Auslegung des Verantwortlichkeitsbegriffs zwar zulässig ist, aber der jeweilige Einzelfall differenziert betrachtet werden muss. Nicht jedes abstrakte „Einwirken“ soll einer gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO genügen.

Hilfreiche Links:

• ÖBVwG, Urteil vom 28.05.2025 – W176 2249328-1
• Abgrenzung zwischen Verantwortlichkeit und Auftragsverarbeitung