Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
- Einsichtsrechte des Betriebsrats in Dokumente zum Datenschutz
- TeleTrusT aktualisiert Handreichung „Stand der Technik in der IT-Sicherheit“
- Weitere News zu Datenschutz und IT
- EU-Kommission – Aktualisierung der Mustervertragsklauseln für die Beschaffung von KI im öffentlichen Sektor
- OLG Dresden – Starke Authentifizierung beim Login in das Online-Girokonto
- Weitere ergangene Urteile
Einsichtsrechte des Betriebsrats in Dokumente zum Datenschutz
Der Zugriff des Betriebsrats auf Datenschutzdokumente sorgt regelmäßig für Diskussionen: Welche Unterlagen darf er einsehen und wo sind die Grenzen? Nach § 80 BetrVG ist der Betriebsrat verpflichtet, die Einhaltung des Datenschutzrechts zu überwachen und kann dafür Einsicht in relevante Dokumente wie Verarbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen oder Auftragsverarbeitungsverträge verlangen. Dr. Gregor Scheja betont, dass der Betriebsrat immer dann Einsicht erhalten muss, wenn dies zur Wahrnehmung seiner gesetzlichen Aufgaben erforderlich ist. Nur im Einzelfall können berechtigte Interessen einer Einsichtnahme entgegenstehen.
Bedeutung für die Praxis:
Unternehmen sollten dem Betriebsrat grundsätzlich Zugang zu den erforderlichen Datenschutzdokumenten gewähren. Die Art der Einsichtnahme – etwa durch Schwärzungen oder Vor-Ort-Termine – kann individuell geregelt werden. Wichtig ist, praktikable Lösungen zu finden, die sowohl die Kontrollrechte des Betriebsrats als auch berechtigte Geheimhaltungsinteressen des Unternehmens berücksichtigen. Bei Unsicherheiten empfiehlt sich eine rechtliche Beratung.
Hilfreiche Links:
- Dr. Gregor Scheja, „Einsichtsrechte des Betriebsrats in Dokumente zum Datenschutz?“ (Account erforderlich)
- Betriebsrat: Unterrichtung und Einsichtnahme vs. Datenschutz
- Betriebsrat und Datenschutz: Anforderungen der DSGVO
TeleTrusT aktualisiert Handreichung „Stand der Technik in der IT-Sicherheit“
Der Bundesverband IT-Sicherheit e. V. (TeleTrusT) hat am 17. Juni 2025 seine vollständig überarbeitete Orientierungshilfe „Stand der Technik in der IT-Sicherheit“ veröffentlicht. Die neue Fassung berücksichtigt aktuelle Bedrohungen wie KI-gestützte Angriffe, neue gesetzliche Vorgaben (z. B. DSGVO, IT-Sicherheitsgesetz 2.0, NIS-2) und stellt praxisnahe Maßnahmen wie Verschlüsselung, Endpoint Detection & Response oder Multi-Faktor-Authentifizierung vor. Die Handreichung richtet sich an Unternehmen, IT-Dienstleister sowie Datenschutz- und Sicherheitsverantwortliche und bietet konkrete Hilfestellung bei der Auswahl und Dokumentation von Schutzmaßnahmen.
Bedeutung für die Praxis:
Die aktualisierte Orientierungshilfe unterstützt Unternehmen und Berater dabei, ihre IT-Sicherheitsmaßnahmen an den aktuellen Stand der Technik anzupassen und gegenüber Kunden oder Aufsichtsbehörden zu begründen. Sie dient als Referenz für Audits, Vertragsgestaltung und die systematische Bewertung technischer und organisatorischer Maßnahmen. Unternehmen sollten die neue Handreichung bei der Überarbeitung ihrer IT-Sicherheits- und Datenschutzkonzepte berücksichtigen, um gesetzlichen und praktischen Anforderungen gerecht zu werden.
Hilfreiche Links:
- TeleTrusT aktualisiert Handreichung „Stand der Technik in der IT-Sicherheit“
- Single Sign-On und Multi-Faktor-Authentifizierung
- Motivationen und Hemmnisse beim Einsatz von Verschlüsselung
Weitere News zu Datenschutz und IT
- Wenn KI den Zugang zum Internet sperrt | zeit.de
- BSI: Macht 2025 zum Jahr der E-Mail-Sicherheit! | heise.de
- „Ich bin kein Roboter“: Warum es immer schwieriger wird, das zu beweisen | nzz.ch
- Elektronische Patientenakte: Transparenz stärkt Vertrauen, Realitätscheck nötig | heise.de
- Nearly 100,000 ChatGPT Conversations Were Searchable on Google | 404media.co
- Schluss mit Rätselraten: OpenAI zeigt, wann ihr welches ChatGPT-Modell nutzen solltet | t3n.de
- Schon 1993: Bill Gates prophezeite die digitale Ära – und lag goldrichtig | t3n.de
EU-Kommission – Aktualisierung der Mustervertragsklauseln für die Beschaffung von KI im öffentlichen Sektor
Die Europäische Kommission hat am 5. März 2025 aktualisierte Mustervertragsklauseln (MVK-KI) für die Beschaffung von KI-Systemen im öffentlichen Sektor veröffentlicht. Diese Klauseln bieten öffentlichen Einrichtungen einen rechtssicheren Rahmen für KI-Aufträge und unterscheiden zwischen Hochrisiko- und Nicht-Hochrisiko-KI-Systemen. Für Hochrisiko-KI werden detaillierte Anforderungen an Dokumentation, Transparenz, Datenqualität und Cybersicherheit gestellt, während für geringere Risiken vereinfachte Vertragsmuster zur Verfügung stehen. Ein besonderer Fokus liegt auf der Klärung von Datenrechten und der Nachvollziehbarkeit von KI-Entscheidungen.
Bedeutung für die Praxis:
Die MVK-KI erleichtern die strukturierte und rechtssichere Vertragsgestaltung bei der Beschaffung von KI-Systemen im öffentlichen Bereich. Sie helfen, typische Risiken wie unklare Datenrechte oder fehlende Transparenz frühzeitig zu adressieren und ermöglichen eine risikoadäquate Anpassung der Vertragsinhalte. Für Berater bieten die Musterklauseln eine wertvolle Grundlage, um Mandanten gezielt bei der Umsetzung der KI-Verordnung und der Vertragsgestaltung zu unterstützen.
Hilfreiche Links:
- Kommission veröffentlicht aktualisierte Mustervertragsklauseln für die Beschaffung von KI-Systemen
- KI-Verordnung: verbotene Praktiken und die DSGVO
- Aufsichtsbehörden: Datenschutz bei KI-Anwendungen
OLG Dresden – Starke Authentifizierung beim Login in das Online-Girokonto
Das OLG Dresden entschied am 5. Mai 2025, dass Banken beim Login ins Online-Banking eine starke Kundenauthentifizierung verlangen müssen, wenn im Konto besonders schützenswerte Daten gespeichert sind. Im zugrunde liegenden Fall wurde ein Kunde Opfer eines Phishing-Angriffs und verlor einen hohen Geldbetrag, weil die Bank beim Login nur eine einfache Authentifizierung (PIN) verlangte. Das Gericht sah zwar ein grob fahrlässiges Verhalten des Kunden, sprach ihm aber dennoch einen Teilersatz zu, da die Bank gegen ihre Pflichten aus § 55 ZAG verstoßen hatte.
Bedeutung für die Praxis:
Das Urteil betont die hohe Verantwortung der Banken für sichere Authentifizierungsverfahren im Online-Banking. Auch wenn Kunden grob fahrlässig handeln, können sie bei unzureichender Umsetzung regulatorischer Vorgaben durch die Bank einen Teilersatz verlangen. Finanzdienstleister sollten daher ihre Authentifizierungsverfahren regelmäßig überprüfen und an die gesetzlichen Anforderungen anpassen, um Haftungsrisiken zu vermeiden.
Hilfreiche Links:
- Oberlandesgericht Dresden, Urteil vom 05.05.2025 – 8 U 1482/24
- Moderne Authentifizierung: Methoden, Sicherheit und Risiken
- Authentifizierung: Verfahren um Zugriffe auf Daten abzusichern
Weitere ergangene Urteile
- Urteil zum Zugang zur vorbereitenden Akte für den verbindlichen Beschluss des EDSA
Das Gericht der Europäischen Union (EuG) hat entschieden, dass auch Personen, die nicht formell am Verfahren des Europäischen Datenschutzausschusses (EDSA) beteiligt sind, ein Recht auf Zugang zu vorbereitenden Akten haben können. Im konkreten Fall hatte der EDSA einer Beschwerdeführerin den Zugang zu den Akten eines Beschlusses verweigert, der sich auf eine Beschwerde gegen Meta (Facebook) bezog. Das EuG erklärte diese Ablehnung für nichtig und stellte klar, dass die Klägerin als mittelbar Betroffene ein berechtigtes Interesse an der Akteneinsicht hat.
EuG, Urt. v. 16.07.2025, Rs. T-183/23 - Kein Schadensersatz bei bereits öffentlich gemachten Daten
Das OLG Dresden hat entschieden, dass ein Schadensersatzanspruch wegen Kontrollverlusts über personenbezogene Daten nach einem Datenschutzverstoß ausgeschlossen sein kann, wenn die betroffene Person diese Daten bereits selbst öffentlich im Internet zugänglich gemacht hat. Im konkreten Fall ging es um einen Scraping-Vorfall bei Facebook, bei dem die Mobilnummer eines Nutzers betroffen war. Das Gericht bestätigte zwar einen Anspruch auf immateriellen Schadensersatz, stellte aber klar, dass ein Kontrollverlust nur dann vorliegt, wenn die Daten nicht schon vorher durch die betroffene Person selbst veröffentlicht wurden.
OLG Dresden 4. Zivilsenat, Beschluss vom 24.Juni 2025 , Az: 4 U 424/25 - Kein Schadensersatz bei rechtmäßiger Datenverarbeitung durch das Gericht
Das OLG Dresden hat entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO durch Erfüllung erlischt und eine Vorlage an den EuGH wegen der Reichweite des nationalen Erfüllungsrechts auf Vorschriften des Unionsrechts nicht veranlasst ist. Die Vorschriften der ZPO über die Aufgaben eines gerichtlichen Sachverständigen können die Weitergabe von personenbezogenen Daten rechtfertigen, die der Sachverständige außerhalb des Verfahrens erlangt hat, für seine Begutachtung aber benötigt. Die Verarbeitung von Daten, die ein Familiengericht von einem von ihm selbst beauftragten Sachverständigen erlangt, begründet keinen Kontrollverlust des Betroffenen, der einen immateriellen Schaden nach der DSGVO auslösen könnte. Das Urteil gibt Verantwortlichen und Beratern damit Rechtssicherheit im Umgang mit Auskunftsersuchen und der Datenverarbeitung im gerichtlichen Verfahren.
OLG Dresden 4. Zivilsenat, Beschluss vom 16.Juni 2025 , Az: 4 U 1664/24
zu „Einsichtsrechte des Betriebsrats in Dokumente zum Datenschutz“ wie passt das zum Urteil des LAG Hessen (Beschluss vom 05.12.2024 – 5 TaBV 4/24), das ein Mitbestimmungsrecht des Betriebsrats bei Datenschutzfragen verneint?
zu finden unter: rsw.beck.de.
Besten Dank für Ihre Frage. Das von Ihnen zitierte Urteil betrifft nicht die allgemeine Überwachungs- und Einsichtsrechte des Betriebsrats nach § 80 Abs. 2 BetrVG. Danach sind dem Betriebsrat die zur Durchführung seiner Aufgaben erforderlichen Unterlagen (z.B. zur Einhaltung des Datenschutzes gegenüber den Beschäftigten) auf Verlangen jederzeit zur Verfügung zu stellen. Dazu zählen beispielsweise das Verzeichnis der Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen sowie Auftragsverarbeitungsverträge, sofern diese im konkreten Fall für die Wahrnehmung der Aufgaben erforderlich sind. Hierbei handelt es sich aber um kein Mitbestimmungsrecht, sondern um ein Informations- und Einsichtsrecht zur Kontrolle der Einhaltung von Vorschriften.
Hallo Dr. Datenschutz,
noch ein Nachtrag zum Link (wen es interessiert, findet es sicher auch so heraus ;-) und ein wenig ausführlicher.
Zu dem ersten Absatz „Einsichtsrechte des Betriebsrats in Dokumente zum Datenschutz“:
Leider kommt man scheinbar ohne Account nicht an die Ausführungen des Dr. Gregor Scheja (Seite nicht gefunden), aber ich teile seine Ansicht nicht, zumindest nicht vollständig. Zitat „Nach § 80 BetrVG ist der Betriebsrat verpflichtet, die Einhaltung des Datenschutzrechts zu überwachen und kann dafür Einsicht in relevante Dokumente wie Verarbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen oder Auftragsverarbeitungsverträge verlangen“
Im §80 Betr.VG steht im Art 1 „Der Betriebsrat hat folgende allgemeine Aufgaben:
1. darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden; …“
Von Datenschutz ist in dem ganzen §80 keine Rede. Selbst wenn ich die DSGVO und das BDSG zu den „geltenden Gesetzen“ zähle ist dies meiner Meinung nach lediglich auf die Verarbeitung von Mitarbeiterdaten beschränkt. Im Gesetz steht ausdrücklich „zugunsten der Arbeitnehmer“. Ein Recht auf Einsichtnahme in die gesamte Datenschutzdokumentation sehe ich hier nicht.
Zumal nach einem Urteil das LAG Hessen (Beschluss vom 05.12.2024 – 5 TaBV 4/24) ein Mitbestimmungsrecht des Betriebsrats bei Datenschutzfragen verneint.
Zumal ich bei einem Betriebsrat auch nicht unbedingt eine Datenschutzexpertise sehe, um hier zu „Überwachen“.