Die wichtigsten DSGVO-Urteile 2024/2025 betreffen Kontrollpflichten bei Auftragsverarbeitern, Informationspflichten bei berechtigten Interessen sowie die Wirksamkeit von Betriebsvereinbarungen – mit konkreten Folgen für Unternehmen.
Aktuelle Datenschutz-Urteile: Was Unternehmen jetzt beachten müssen
Die folgenden Urteile betreffen zentrale Themen wie die Löschpflicht bei Auftragsverarbeitern, Informationspflichten bei berechtigten Interessen sowie die rechtliche Rolle von Betriebsvereinbarungen.
Kontrollpflicht bei Auftragsverarbeitern: OLG Dresden (Az: 4 U 422/24 v. 15.10.2024)
Das OLG Dresden stellte klar: Wird das Vertragsverhältnis mit einem Auftragsverarbeiter gemäß Art. 28 DSGVO beendet, bleibt der Verantwortliche in der Pflicht.
- Es muss ein konkreter Nachweis der Datenlöschung durch den Auftragsverarbeiter vorgelegt werden.
- Verantwortliche sollten Löschungsnachweise systematisch einfordern und archivieren.
FAQ: Was ist eine Kontrollpflicht bei Auftragsverarbeitern?
Verantwortliche müssen nach Beendigung eines Vertrags mit einem Auftragsverarbeiter prüfen und nachweisen, dass personenbezogene Daten vollständig gelöscht wurden. Tipp: Prüfen Sie daher auch Auftragsverarbeitungsverträge (AVV) immer ganz genau, der Auftraggeber bleibt datenschutzrechtlich verantwortlich.
Anforderungen an den Nachweis der Datenlöschung: VG Bremen (Az: 4 K 2298/23 v. 17.12.2024)
Unter bestimmten Voraussetzungen müssen personenbezogene Daten gelöscht werden, z. B. wenn der ursprüngliche Zweck der Datenverarbeitung entfallen ist bzw. erfüllt wurde. Das Gericht verlangt vom Verantwortlichen einige Nachweise und konkrete Angaben zur Datenlöschung im Einzelfall:
- Wer hat gelöscht?
- Wann wurde gelöscht?
- In welcher Weise und aus welchem Speichermedium?
Eine pauschale Aussage „Die Daten wurden gelöscht“ genügt nicht den Anforderungen nach Art. 17 Abs. 1 und Art. 5 Abs. 2 DSGVO. Eine Löschkonzept DIN 66398 hilft diese Anforderungen adäquat und praxisgerecht umzusetzen, sofern die Maßnahmen in den datenschutzrechtlichen „Workflow” aufgenommen werden.
Keine Verarbeitung ohne Information über berechtigtes Interesse: EuGH (C-394/23 v. 09.01.2025)
Wenn Unternehmen personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten – z. B. bei Videoüberwachung oder Direktmarketing – müssen Betroffene vorher transparent über die konkreten berechtigten Interessen informiert werden. Die Pflicht zur Information wirkt sich somit auch auf die Rechtmäßigkeit der Datenverarbeitung aus: Ohne Information ist die Datenverarbeitung rechtswidrig. Zahlreiche Datenschutzerklärungen müssen daher überarbeitet werden. Hier empfiehlt sich ein einheitliches Vorgehen, um datenschutzrechtliche Pflichten mit Außenwirkung konsequent umzusetzen.
FAQ: Was sind berechtigte Interessen laut DSGVO?
Berechtigte Interessen sind legitime wirtschaftliche, sicherheitsrelevante oder organisatorische Ziele eines Unternehmens, die eine Datenverarbeitung rechtfertigen können – sofern keine höheren Rechte der Betroffenen entgegenstehen.
Betriebsvereinbarungen keine eigenständige Rechtsgrundlage: EuGH (C-65/23 v. 19.12.2024)
Der EuGH entschied: Betriebsvereinbarungen können gemäß § 26 Abs. 4 BDSG nicht alleinige Rechtsgrundlage für eine Datenverarbeitung darstellen.
- Es muss geprüft werden, ob zusätzlich eine datenschutzrechtliche Rechtsgrundlage aus der DSGVO (Art. 6 oder Art. 9) vorliegt.
- Unternehmen sollten bestehende Betriebsvereinbarungen auf Konformität prüfen und ggf. anpassen.
FAQ: Reicht eine Betriebsvereinbarung für die Datenverarbeitung?
Nein. Nach EuGH-Rechtsprechung genügt eine Betriebsvereinbarung allein nicht. Es ist immer eine zusätzliche Rechtsgrundlage aus der DSGVO erforderlich. Ebenso dürfen Betriebsvereinbarungen das mit der DSGVO festgelegte Schutzniveau nicht unterschreiten, sodass die Datenschutzgrundsätze (Art. 5 DSGVO) jeweils in Betriebsvereinbarungen Eingang finden müssen.
Fazit: Jetzt Datenschutzprozesse auf den Prüfstand stellen
Die neuen Urteile zeigen: Verantwortliche müssen ihre Prozesse zur Datenlöschung, Informationspflicht und Rechtsgrundlage sorgfältig prüfen. Unternehmen, die hier nicht nachziehen, riskieren Datenschutzverstöße.
Unser Tipp: Führen Sie jetzt eine rechtliche Kurzprüfung Ihrer Datenschutz-Dokumentation, einschließlich VVT, durch. Vereinbaren Sie ein Beratungsgespräch mit uns – wir unterstützen Sie bei der Umsetzung der aktuellen DSGVO-Vorgaben.
