Liebe Leserinnen, liebe Leser,
das Jahr neigt sich langsam dem Ende zu. Die Tage werden kürzer – und auch, wenn es die To-do-Listen nicht werden, kehrt bei vielen spätestens nach dem dritten Advent ein Moment der Ruhe ein, in dem man sich bewusst macht, dass man ohnehin nicht mehr alles vor Weihnachten schafft. Zeit also, gelassen in den vom Sonntag übriggebliebenen Lebkuchen zu beißen, es sich mit einem warmen Getränk gemütlich zu machen und das Datenschutzjahr 2025 Revue passieren zu lassen. Zwischen neuen EuGH-Entscheidungen, spannenden datenschutzpolitischen Ambitionen und altbekannten Dauerbrennern wie Beschäftigtendatenschutz, Auskunftsrechten und Incident Response bot das erste Quartal reichlich Stoff zum Nachdenken bzw. Nachlesen.
Der Inhalt im Überblick
Januar – Neustart und Startschuss
Auch dieses Jahr beginnen wir den Jahresrückblick – wenig überraschend – mit den Monaten Januar bis März, aber auch mit einer Gerichtsentscheidung aus dem Vorjahr. Denn der EuGH hatte die Betriebsräte zu Weihnachten mit einer neuen Entscheidung aus dem Bereich Datenverarbeitung im Beschäftigtenverhältnis beglückt. Hierbei machte er deutlich, dass nationale Spielräume bei Öffnungsklausel aus Art. 88 DSGVO enger sind als von manch einem gedacht. Die allgemeinen Grundsätze, insbesondere aus Art. 5, Art. 6 oder Art. 9 DSGVO, dürften hierdurch nicht unterlaufen werden. Für Arbeitgeber heißt das: Die Betriebsvereinbarungen gehören kritisch überprüft.
Nach dem Ampel-Aus standen die Bundestagswahlen vor der Tür. Da es dann schon Ende Februar so weit sein sollte, dass jeder wahlberechtigte Bürger seine Stimme abgibt, liefen die Wahlwerbungen heiß. Viele fragten sich im Januar, ob die eigene Adresse eigentlich für Wahlwerbung genutzt werden darf. Die Antwort darauf war – wie so oft – ein klares: „Es kommt darauf an“. Der Beitrag brachte Licht ins Dunkel und zeigte, welche datenschutzrechtlichen Spielräume Parteien tatsächlich haben und wann das Widerspruchsrecht greift. Im Anschluss daran kam auch die Frage auf, wann politisches Targeting im Wahlkampf zulässig ist.
Während also alle Parteien noch hoffnungsvoll in den Startlöchern für die neue Regierung standen, fiel für die elektronische Patientenakte im Januar schon der Startschuss. Die Debatte rund um die elektronische Patientenakte für alle zeigte, wie groß die datenschutzrechtlichen Bedenken weiterhin sind. Zwischen technischem Fortschritt und informationeller Selbstbestimmung wurde klar: Vertrauen entsteht nicht allein durch gute Ideen, sondern durch saubere Umsetzung.
Auch praxisnahe Themen kamen nicht zu kurz. Der Beitrag „Erfüllung von Auskunftsersuchen per E-Mail“ analysierte, wann der elektronische Weg ausreicht, um Art. 15 DSGVO ordnungsgemäß umzusetzen – und wann aus Gründen der Sicherheit und Nachweisbarkeit Vorsicht geboten ist.
Mitte Januar hatte die Datenschutzorganisation noyb bei fünf europäischen Aufsichtsbehörden Beschwerden gegen insgesamt sechs große Plattformen mit China-Bezug eingereicht. Darunter Tik Tok, AliExpress und Temu. Der Kernvorwurf: ein rechtswidriger Transfer personenbezogener Daten nach China. Der Fall macht deutlich, dass Unternehmen, die sich bei internationalen Datentransfers allein auf Standardvertragsklauseln stützen, gut beraten sind, genauer hinzusehen. Ohne gründliche Risikoanalysen, transparente Kommunikationsprozesse und eine konsequente Umsetzung der DSGVO können erhebliche rechtliche und finanzielle Konsequenzen drohen.
Februar – Kommunikation, Debatten und internationale Spannungen
Mit den anstehenden Wahlen rückte im Februar neben der Brandmauer-Debatte auch der Datenschutz in den politischen Fokus. In einer zweiteiligen Reihe wurden die Datenschutzpläne der Parteien vorgestellt – von SPD über CDU/CSU und Grüne bis hin zu FDP, AfD, Linke und BSW. Ein spannender Blick auf Gemeinsamkeiten, Leerstellen und fundamentale Gegensätze.
International wurde es beim verunsicherten Blick über den Atlantik. Unter dem Schlagwort „America First“ stellte sich die Frage, wie stabil das EU-US Data Privacy Framework angesichts der politischen Veränderungen in den USA wirklich ist. Ein Déjà-vu für viele Unternehmen.
Weniger politisch, dafür umso alltäglicher war das Thema geteilter Postfächer. Ob info@, bewerbung@ oder support@ – der Beitrag zeigte, dass gemeinschaftlich genutzte E-Mail-Postfächer schnell zum Datenschutzproblem werden und wie Unternehmen durch eine klare Zugriffsbefugnisse bei Gruppenkonten Abhilfe schaffen können, um sowohl Effizienz als auch Vertraulichkeit zu gewährleisten.
Auch private Kommunikation stand im Fokus. Angesichts wachsender Datenschutzbedenken gegenüber WhatsApp stellte Dr. Datenschutz sichere Messenger-Alternativen vor. Signal, Threema & Co. wurden im Hinblick auf Verschlüsselung, Metadatenverarbeitung und Open-Source-Transparenz eingeordnet – nicht missionarisch, sondern praxisnah und differenziert.
Zu einem wahrhaft „besinnlichen“ Abschluss des Februars trug die zweite Folge der dreiteiligen Serie zum Thema Incident Response bei. Das ewig aktuelle Thema Cybersicherheit wurde anhand eines Praxis-Beispiels aufgegriffen und aufgezeigt, wie Unternehmen auf Angriffe reagieren können, bzw. wie strukturierte Reaktionspläne und klare Zuständigkeiten dabei helfen, Meldepflichten effektiv zu erfüllen.
März – Worst-Case-Szenarios, Kekse und zarte Hoffnungen
Der März begann noch ohne Merz und knüpfte an das Thema Cybersicherheit mit einem Worst-Case-Szenario an. In der Beitragsreihe zur konzernweiten Datenpanne werden mittels praxisnaher Leitlinien erläutert, wie internationale Unternehmensgruppen konsistente Aufklärungs- sowie Meldeprozesse etablieren können. Ein eindringlicher Reminder an die guten Neujahrsvorsätze, dass gute Vorbereitung entscheidend ist; egal ob nun 2025 oder 2026.
In diesem Zusammenhang von besonderer Tragweite war auch ein weiteres klarstellendes EuGH-Urteil. Es ist zwar nicht neu, dass Aufsichtsbehörden bei der Berechnung von DSGVO-Geldbußen den gesamten Konzernumsatz berücksichtigen dürfen. Das Urteil stellt aber differenzierte Kriterien für die Bußgeldberechnung auf. Diese können eine gute Prüfungshilfe darstellen, ob bei einem ergangenen Bescheid die Voraussetzungen für ein verhältnismäßiges Bußgeld eingehalten wurden.
Wie schon im Januar durfte auch im März ein wichtiger Grundpfeiler des Datenschutzrechts und ein zugleich nach wie vor sehr heikles Thema nicht fehlen: „Beschäftigtendatenschutz nach DSGVO und BDSG“. Der Beitrag fasst den aktuellen Stand der nationalen und europäischen Regelungen zusammen. Insbesondere mit Blick auf die Europawidrigkeit der Generalklausel § 26 Abs. 1 Satz 1 BDSG werden zarte Hoffnungen in die neue Regierung gesetzt, ob diese vielleicht doch den Ball aufnimmt und mittels des bereits vorliegenden Entwurfs für ein Beschäftigtendatengesetz für mehr Klarheit sorgt.
Unser Beitrag zum Thema Pseudonymisierung räumt nicht nur mit einem weiteren bekannten Datenschutzirrtum auf. Der Artikel erklärt auch verständlich, wie das Verfahren funktioniert, was es von der Anonymisierung unterscheidet und warum die Pseudonymisierung zwar eine wesentliche Maßnahme zum Schutz personenbezogener Daten darstellt, aber keinen Freifahrtschein für sorglosen Umgang mit Daten.
Zum Monatsabschluss lenkte der Beitrag „Haftung von Cookie-Anbietern bei fehlender Einwilligung“ den Blick auf die Verantwortlichkeit von Werbedienstleistern. Die Analyse zeigte, dass auch Drittanbieter zunehmend in die Pflicht genommen werden, wenn die Einholung oder Dokumentation von Einwilligungen bei dem Einsatz von Cookies mangelhaft ist.
Allen, bei denen zwischenzeitlich noch nicht alle Adventskranzkerzen runtergebrannt sind und die noch genügend Kekse und Lebkuchen haben, sei es wärmstens empfohlen, auch morgen wieder das Dr. Datenschutz-Türchen zu öffnen: Dann geht der Jahresrückblick in die zweite Runde!
