Was ist in der KW 08 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Taskforce für die Durchsetzung von KIEUGH zur Berechnung von Geldbußen (Rechtssache C‑383/23)Newsletter: Berliner Beauftragte für Datenschutz und InformationsfreiheitAktionsplan LfDIKI-Anwendungen LDI BremenWeitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/eugh-zur-bußgeldhohe-auf-basis-des-konzernumsatzes-ds-news-kw-08-2025/↗
Transkript zur Folge:
Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 21. Februar und unser Redaktionsschluss war wie immer
um 10 Uhr. Mein Name ist Gregor Wortberg und bei mir ist Natalia Wozniak. Hallo Natalia.
Hallo Gregor, guten Morgen.
Ja, schön, dass wir beide wieder zusammen eine Folge aufnehmen.
Das hat sich vor einem guten drei, vier Wochen auch schon mal ereignet. Freut mich immer sehr.
Und dann gucken wir doch mal, welche Themen wir mitgebracht haben heute.
Eine kleine, feine Auswahl. Was steht bei dir auf dem Zettel?
Ich habe Betonung hier auf klein und fein tatsächlich. Ich habe ein Thema mitgebracht,
nämlich den ETSA und den Entschluss, eine Taskforce für das Thema KI einzurichten.
Ja, dann machen wir schnell einen Wechsel. Ich glaube, du hast noch Veröffentlichungen.
Hast du auch nochmal mit?
Die habe ich auch noch, ja.
Die haben wir auch im Anschluss. Das kann ich auch schon mal vorwegnehmen,
dass ich da auch noch Veröffentlichungen von Aufsichtsbehörden habe.
Ansonsten verrät es schon der folgenden Titel. Der Europäische Gerichtshof hat
sich geäußert im Kontext der Bußgeldberechnung in Konzernen.
Aber wir fangen mit deinem Thema an.
Wir fangen mit dem Ätze an.
Alles klar. Also wie gerade schon gesagt, hat der ETSA beschlossen,
dass eine Taskforce für das Thema KI eingerichtet werden soll.
Der ETSA hat auf seine Plenarsitzung im Februar 2025, also ganz frisch,
unter anderem, also neben anderen Themen, beschlossen, eine solche Taskforce
für die Durchsetzung von KI einzurichten.
Wir haben uns im Vorfeld gefragt, was eigentlich mit Durchsetzung von KI gemeint
ist, ob das nicht eigentlich was anderes sein müsste. Also auch der Originaltext
in Englisch gibt hier leider nicht viel mehr her.
Wir werden abwarten müssen, was das genau der Gegenstand der Taskforce sein wird.
Jedenfalls hat Frau Anno Talus, also die Vorsitzende des ETSA,
erklärt, dass die DSGVO einen Rechtsrahmen bildet, in dem verantwortungsvolle
Innovationen gefördert werden sollen.
Dabei soll die DSGVO einerseits sicherstellen, dass hohe Datenschutzstandards beibehalten werden,
sie aber gleichzeitig entwickelt wurde, um das Potenzial von Innovationen wie
aktuell im Bereich der KI zum Nutzen unserer Wirtschaft voll auszuschöpfen.
Mit anderen Worten soll die DSGVO kein Verhinderer für Innovationen sein,
sondern diese als gesetzliche Rahmen irgendwo auch begleiten.
Die neu zugründete Taskforce des ETSA für die Durchsetzung der KI und ein künftiges
Krisenreaktionsteam sollen eine entscheidende Rolle dabei spielen,
das Gleichgewicht zu gewährleisten,
die Maßnahmen der Datenschutzbehörden zu koordinieren und die Behörden bei der
Bewältigung der Komplexität der KI
zu unterstützen und gleichzeitig starke Datenschutzgrundsätze zu wahren.
Weitere Informationen zu der Taskforce und dem Krisenreaktionsteam sind in der
von der ETSA veröffentlichten Pressemitteilung aktuell leider noch nicht enthalten,
aber wir werden sicherlich noch dazu berichten.
Der EuGH hat in einem aktuellen Urteil betreffend eines Farbentscheidungsersuchens
aus Dänemark festgestellt,
dass die maximale Höhe von Geldbußen gemäß der DSGVO anhand eines Prozentsatzes
des weltweiten Umsatzes eines gesamten Konzerns festgelegt werden kann.
Diese Grundsatzentscheidung baut auf auf der bereits im Falle Deutschen Wohnen
im Jahr 2023 getroffenen Entscheidung und wurde im Kontext eines Verfahrens
aus Dänemark getroffen.
In diesem Fall wurde ein Möbelhändler beschuldigt, zwischen Mai 2018 und Januar
2019 gegen Datenschutzbestimmung verstoßen zu haben.
Die dänische Aufsichtsbehörde hat seinerzeit eine Geldbusse beantragt,
welche sich am weltweiten Unternehmensumsatz orientiert. Ein dänisches Strafgericht
reduzierte die Strafe auf ein Maß, welches sich am Umsatz des dänischen Teils
unternehmensorientierte.
Und hier kam dann, nachdem ein Berufungsgericht die Frage an den EuGH weitergeleitet
hat, dieser dann nochmal ins Spiel.
Der Gerichtshof bestätigte, dass der Unternehmensbegriff einerseits sich orientiert
an den Bestimmungen des Artikels 4 der DSGVO und an dem Vertrag über die Arbeitsweise
der Europäischen Union,
AEUV, Wo auch nochmal die wirtschaftliche Einheit, die wesentlich ist,
für diese Bezugnahme beschrieben wird.
Das bedeutet dann halt, wenn ich eine wirtschaftliche Einheit bilde.
Dass dann halt DSGVO-Busen auf Gesamtkonzernumsatzniveau berechnet werden können.
Der EuGH betont jedoch auch, dass die Berechnung lediglich den Höchstbetrag der Begrüße festlegt.
Die zuständigen Aufsichtsbehörden müssen natürlich in jedem Einzelfall sicherstellen,
dass die Strafe wirksam, verhältnismäßig und abschreckend ist.
Zu betrachten im Zusammenhang sind natürlich Kriterien wie die Art,
die Schwere und die Dauer des Verstoßes, die Zahl der betroffenen Personen und
das Ausmaß des erlittenen Schadens.
Zudem natürlich auch die ergriffenen Maßnahmen zur Schadensbehinderung.
Es ist gut, dass das nochmal bestätigt wurde letztlich.
Ich glaube genau, das ist der Hintergrund von dem Urteil. In den aktuellen Leitlinien,
die 2023 angenommen wurden, hat der ETSA bereits festgestellt bzw.
Klargestellt, dass unter Unternehmen, eben alle Unternehmen fallen,
die als wirtschaftliche Einheiten und weniger als rechtliche Einheiten zu verstehen sind.
Das heißt, die Gruppe von Unternehmen, die hier gemeint ist und die quasi als
Bemessungsgrundlage für den Umsatz dient, die ist hier zugrunde zu legen.
Insofern ist das EuGH-Urteil tatsächlich eine Klarstellung, eine willkommene
Klarstellung, denke ich. Die Grundsätze waren im Großen und Ganzen auch schon
in den Leitlinien des ETSA enthalten.
Aber ich glaube, im Hinblick auf die Bindungswirkung und nochmal,
um die Relevanz festzustellen und weil es da anscheinend auch Unsicherheiten
gab, finde ich, das Urteil tatsächlich eine sehr gute Ergänzung.
Ja, definitiv. Ich komme schon zu den Veröffentlichungen, die wir diese Woche mitgebracht haben.
Und zwar, die Berliner Beauftragte für Datenschutz und Informationsfreiheit,
Michael Kamp, hat ihren ersten eigenen Newsletter veröffentlicht.
In dem nimmt sie erst auch mal Bezug darauf, dass sie jetzt zum Jahresbeginn
im Januar den Vorsitz der Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden
von Bund und Ländern, DSK, für das Jahr 2025 übernommen hat.
Und ihr vorgeschlagener Schwerpunkt zu den Themen Anonymisierung und Pseudonymisierung
für das Jahr 2025 dann auch angenommen wurde in der ersten Zwischenkonferenz der DSK am 29.
Januar. Unter anderem nimmt sie aber auch nochmal Bezug zu Ursachen für Datenpannen
und verweist auf verschiedene Veröffentlichungen des ETSA, auf die wir aber
auch schon im Podcast hingewiesen haben.
Ich habe eine weitere Veröffentlichung und zwar der Landesbeauftragte für Datenschutz
und Informationsfreiheit Rheinland-Pfalz, LFDI abgekürzt, hat seinen Aktionsplan
für das Jahr 2025 veröffentlicht.
Der LFTI legt mit diesem Aktionsplan einen klaren Fokus auf die Begleitung,
Beratung und Überprüfung von Verantwortlichen im Rahmen von Digitalisierungsprojekten
und dem Einsatz von künstlicher Intelligenz.
Unter dem Motto Better safe than sorry will der LFTI proaktiven Datenschutz fördern.
Im Jahr 2025 will der LFTI insbesondere die datenschutzrechtlichen Fragestellungen
rund um die künstliche Intelligenz begleiten.
Und hierzu, also um die Einhaltung des Datenschutzes in der Praxis zu überprüfen,
sind umfassende Kontrollen und Untersuchungen geplant.
Wir verlinken hier auf die Seite des LFDI und dort kann eben der Aktionsplan
abgerufen werden. Vielleicht für den einen oder anderen interessant.
Das LDI Bremen, um zu unserer nächsten Veröffentlichung zu kommen,
hat Empfehlungen zum Einsatz von KI-Anwendungen von Anbietern außerhalb der
Europäischen Union, die insbesondere auch keinen gesetzlichen Vertreter in der
EU benannt haben, veröffentlicht.
Neben Hinweisen zur Anwenderauswahl und technisch-organisatorischen Maßnahmen
ist unter anderem eine sehr praktische Übersicht diverser Orientierungshilfen
und Checklisten weiterer Aufsichtsbehörden enthalten.
Einerseits ist ETSA, auch die Orientierungshilfe KI und Datenschutz der Datenschutzkonferenz,
KI-Checkliste aus Bayern und weitere sind dort enthalten.
Auch aus anderen Ländern wie Italien, Polen und Griechenland wurden Dokumente
verlinkt. Bietet eine super Übersicht zu dem immer aktuellen Thema.
Ja, da sind wir glaube ich schon durch.
Ja, da sind wir schon durch. Und wenn wir durch sind, dann bedanken wir uns
bei euch für die Aufmerksamkeit, dass ihr auch in dieser Woche wieder reingeschaltet
und zugehört habt und wünschen euch, wenn ihr uns am Freitag hört,
ein schönes Wochenende und am Montag dann einen angenehmen Start in die neue Woche.
Dem schließe ich mich an und bis zum nächsten Mal.
Bis bald.
Der Beitrag EuGH zur Bußgeldhöhe auf Basis des Konzernumsatzes – DS News KW 08/2025 erschien zuerst auf migosens.