Dr. Datenschutz Shortnews im August 2025 – KW32

Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.

„ToolShell“: Angriffe auf neue Sharepoint-Sicherheitslücke

Microsoft warnt vor derzeit laufenden Angriffen auf eine bislang unbekannte Schwachstelle (CVE-2025-53770) in lokal betriebenen SharePoint-Servern (On-Prem). Die Sicherheitslücke wird bereits aktiv ausgenutzt und erlaubt es Angreifern, Code auszuführen sowie digitale Schlüssel (MachineKey) zu stehlen. Damit könnten auch nach einem Patch weiterhin Zugriffe erfolgen. Betroffen sind u. a. Organisationen aus Behörden, Gesundheitswesen, Telekommunikation und Software-Branche – auch in Europa. Microsoft hat inzwischen Patches veröffentlicht und mehreren chinesischen Gruppen die Attacken zugeordnet.

Bedeutung für die Praxis:

• Organisationen mit On-Prem-SharePoint-Systemen sollten die Lage sehr ernst nehmen: Die bloße Installation des Patches reicht nicht aus, wenn Angreifer bereits Zugriff hatten. IT-Verantwortliche müssen umgehend betroffene Systeme isolieren, kompromittierte Zugangsdaten zurücksetzen und eine forensische Prüfung auf erfolgte Angriffe vornehmen, um Folgeschäden zu verhindern.

Hilfreiche Links:

• Customer guidance for SharePoint vulnerability CVE-2025-53770
• Datenschutz & Microsoft 365: DSGVO-konformer Einsatz möglich?
• Microsoft Teams: Wie Angreifer es nutzen und Sie sich schützen

Microsofts Souveränitätsversprechen unter Druck: US-Zugriffe weiterhin möglich

Microsoft wirbt seit Jahren mit dem Versprechen digitaler Souveränität für europäische Kunden, insbesondere durch das sogenannte „EU Data Boundary“-Programm, das eine ausschließliche Datenverarbeitung innerhalb der EU gewährleisten soll. Doch eine aktuelle Aussage des Chefjustiziars von Microsoft in Frankreich stellt diese Zusagen nun infrage: Demnach könne nicht ausgeschlossen werden, dass US-Behörden Zugriff auf Daten europäischer Kunden erhalten – selbst wenn diese ausschließlich in der EU verarbeitet werden. Rechtsexperten werten dies als deutliches Eingeständnis der Grenzen solcher Souveränitätskonzepte, da US-Unternehmen grundsätzlich der amerikanischen Gerichtsbarkeit unterliegen – unabhängig davon, welche technischen oder organisatorischen Schutzmaßnahmen vor Ort getroffen werden.

Bedeutung für die Praxis:

• Von wohlklingenden Aussagen großer US-Cloud-Anbieter zur Datensouveränität sollten sich Kund:innen nicht vorschnell überzeugen lassen. Auch wenn eine Datenverarbeitung innerhalb der EU versprochen wird, kann ein Zugriff durch US-Behörden rechtlich nicht vollständig ausgeschlossen werden. Wer sich mit der Nutzung solcher Dienste beschäftigt, sollte alle relevanten Argumente kennen, um Chancen und Risiken realistisch gegeneinander abzuwägen. Eine fundierte Entscheidungsgrundlage ist dabei entscheidend – und gute Beratung kann helfen, den passenden Weg zu finden.

Hilfreiche Links:

• Microsofts Souveränitäts-Debakel: Zwischen „blumiger Werbung“ und „keine Panik“
• Microsoft kann US-Zugriff auf EU-Cloud nicht verhindern!
• Microsoft EU Data Boundary: Fortschritt mit Vorsicht

Leitlinien der EU-Kommission zum Jugendschutz nach Art. 28 Abs. 4 DSA

Die EU-Kommission hat ergänzende Leitlinien zum Digital Services Act (DSA) veröffentlicht, um den Schutz von Minderjährigen auf Online-Plattformen zu stärken. Im Fokus stehen insbesondere altersgerechte Mechanismen zur Altersverifikation, datensparsame Voreinstellungen sowie der Schutz vor schädlichen oder unangemessenen Inhalten. Plattformanbieter sollen demnach die „besten Interessen des Kindes“ bei der Gestaltung ihrer Dienste vorrangig berücksichtigen.

Bedeutung für die Praxis:

• Online-Dienste, die (auch) von Minderjährigen genutzt werden, müssen künftig ihre Systeme und Prozesse überprüfen und ggf. anpassen – insbesondere im Hinblick auf Datenschutz, Transparenz sowie altersgerechte Kommunikation. Auch datenschutzrechtlich sind die Vorgaben relevant, etwa bei der Bewertung der Zulässigkeit der Datenverarbeitung nach der DSGVO.

Hilfreiche Links:

• Kommission veröffentlicht Leitlinien zum Jugendschutz
• Altersverifikation per EU-App
• Digitaler Services Act: Datenschutzbehörden sind mit an Bord

OLG Frankfurt: Zwingende Angabe von E-Mail oder Handynummer beim Bahnfahrkartenkauf ist rechtswidrig

Das OLG Frankfurt hat entschieden, dass die Deutsche Bahn beim Kauf digitaler Sparpreis-Tickets nicht zwingend E-Mail-Adresse oder Handynummer verlangen darf. Die Verarbeitung dieser personenbezogenen Daten sei nicht durch die DSGVO gedeckt, da es an einer wirksamen Einwilligung und einer legitimen Rechtsgrundlage fehle. Insbesondere verletze die Praxis das Koppelungsverbot aus Art. 7 Abs. 4 DSGVO, da die Kunden keine realistische Ausweichmöglichkeit hatten und ein Machtungleichgewicht bestand.

Bedeutung für die Praxis:

• Das Urteil zeigt, wie entscheidend die Freiwilligkeit einer Einwilligung ist – insbesondere bei marktmächtigen Unternehmen. Die Argumentation des Gerichts zur fehlenden Erforderlichkeit der Datenverarbeitung und zum Koppelungsverbot lässt sich auch auf andere Plattformen wie Meta oder Amazon übertragen. Zudem wird klar: Die bloße Absicht zur Effizienzsteigerung reicht nicht aus, um ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO zu begründen.

Hilfreiche Links:

• Oberlandesgericht Frankfurt am Main, Urteil vom 10.07.2025 – Az. 6 UKl 14/24
• Ist die Frage nach dem Geschlecht beim Ticketkauf zulässig?
• Verkauft die Deutsche Bahn wirklich die Daten ihrer Kunden?