Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
- YouTube-Einbindung ohne Einwilligung – BfDI prüft automatisiert Bundes-Webseiten
- Google Consent Mode v2, GTM und Borlabs
- IT-Sicherheitsrisiken im Urlaub: Wie Abwesenheitsnotizen und mobiles Arbeiten zur Gefahr werden
- Weitere News zu Datenschutz und IT
- OLG München – Schadensersatzanspruch gegen Facebook wegen Scrapings
- OVG Saarlouis: Kein Anspruch auf Auskunft nach DSGVO bei wirksamem Verzicht im arbeitsgerichtlichen Vergleich
- Gemeinsame Stellungnahme von EDSB und EDSA zu Vereinfachungsmaßnahmen
- Weitere wichtige Meldungen
YouTube-Einbindung ohne Einwilligung – BfDI prüft automatisiert Bundes-Webseiten
Die BfDI hat im ersten Quartal 2025 knapp 200 Webseiten öffentlicher Bundesstellen auf datenschutzwidrige YouTube-Einbindungen geprüft und dabei 40 Verstöße festgestellt, woraufhin die betroffenen Stellen mit Beratungsschreiben informiert wurden. Mit dieser automatisierten Prüfung setzt die BfDI auf eine digitale und präventive Aufsicht, unterstützt Behörden bei datenschutzfreundlichen Alternativen wie Selbsthosting oder Zwei-Klick-Lösungen und plant weitere Kontrollen.
Bedeutung für die Praxis:
- Die Prüfung der BfDI verdeutlicht die Notwendigkeit, etablierte technische Lösungen wie die Einbindung von Drittanbieterdiensten regelmäßig auf Datenschutzkonformität zu überprüfen, da die Anforderungen steigen und insbesondere durch automatisierte Kontrollen der Aufsichtsbehörden eine kontinuierliche Anpassung erforderlich ist.
Hilfreiche Links:
- Erste automatisierte Webseitenprüfung der BfDI deckt zahlreiche unzulässige YouTube-Einbettungen auf
- BfDI prüft Bundes-Webseiten: YouTube-Einbindungen im Visier
- Website rechtssicher erstellen – so geht’s!
Google Consent Mode v2, GTM und Borlabs
Seit dem 6. März 2024 müssen Nutzer von Google-Diensten wie Google Ads oder Analytics den Google Consent Mode v2 einsetzen, der als technische Schnittstelle die Nutzerzustimmung an Google übermittelt, jedoch kein eigenständiges Consent-Management-Tool ersetzt; hierfür bleibt etwa Borlabs Cookie notwendig, das die Einwilligung einholt und verwaltet. Datenschutzrechtlich sicher ist dabei nur der Basic Consent Mode, bei dem Tracking erst nach ausdrücklicher Zustimmung erfolgt, während der Advanced Mode ohne Einwilligung Daten sendet und rechtlich umstritten ist.
Bedeutung für die Praxis:
- Marketing-Mitarbeitende stellen häufig die Frage, welche datenschutzrechtlichen Anforderungen beim Einsatz des Google Consent Mode v2 zusammen mit dem Google Tag Manager und Consent-Tools wie Borlabs zu beachten sind, weshalb grundlegendes Wissen zu diesem Thema hilfreich ist.
Hilfreiche Links:
- Hilfreiches Video für die Webseitenentwickler
- Google Consent Mode: Datenschutz bei der Implementierung
- Google: Anleitung zum Löschen und Verwalten Ihrer Daten
IT-Sicherheitsrisiken im Urlaub: Wie Abwesenheitsnotizen und mobiles Arbeiten zur Gefahr werden
Während des Urlaubs steigen die IT-Sicherheitsrisiken erheblich, da mobile Geräte und sensible Daten außerhalb des gewohnten Arbeitsumfelds verstärkt Bedrohungen wie Diebstahl, unsichere Netzwerke und gezielte Angriffe ausgesetzt sind. Automatische Abwesenheitsnotizen und die Nutzung öffentlicher WLANs bieten Cyberkriminellen Angriffspunkte, weshalb technische Schutzmaßnahmen und Mitarbeitendensensibilisierung besonders wichtig sind, um Datenverlust und Kompromittierungen zu verhindern.
Bedeutung für die Praxis:
- Die Berücksichtigung von IT-Sicherheitsrisiken während Urlaub und Dienstreisen sowie die Umsetzung technischer, organisatorischer Maßnahmen und Mitarbeitendensensibilisierung sind entscheidend, um den Schutz personenbezogener Daten und die Einhaltung der DSGVO auch außerhalb des regulären Arbeitsumfelds sicherzustellen.
Hilfreiche Links:
- Wie der Urlaub zum Sicherheitsrisiko für Unternehmen wird
- Aufbau eines ISMS – Der ISB und die Organisation
- Datenschutz im Urlaub
Weitere News zu Datenschutz und IT
- Web-Tipps: Prompt-Verbesserer | heise.de
- DSK, Entschließung zum Cloud Computing | datenschutzkonferenz-online.de
- Sicherheitskameras sind tickende Zeitbomben | faz.net
- Copilot setzt sich in Firmen schwer durch, weil Angestellte lieber ChatGPT nutzen | derstandard.de
- Daten europäischer Cloud-Kunden werden künftig besser geschützt | handelblatt.com
- Kein WhatsApp mehr: US-Kongressmitarbeiter müssen den Messenger wechseln | heise.de
OLG München – Schadensersatzanspruch gegen Facebook wegen Scrapings
Das OLG sprach einem Facebook-Nutzer 200 Euro immateriellen Schadensersatz gemäß Art. 82 DSGVO zu, da Facebook durch eine datenschutzwidrige Voreinstellung zur Suchbarkeit über Telefonnummern den massenhaften Datenabgriff (Scraping) ermöglichte, was zum Kontrollverlust über persönliche Daten führte. Während das Gericht auch eine Ersatzpflicht für zukünftige Schäden feststellte, wurde der Unterlassungsantrag mangels hinreichender Bestimmtheit abgewiesen.
Bedeutung für die Praxis:
- Das Urteil bietet eine ausführliche und praxisrelevante Auseinandersetzung mit Schadensersatzansprüchen nach Art. 82 DSGVO sowie ergänzend mit Unterlassungsansprüchen und verdeutlicht die Bedeutung der aktuellen Rechtsprechung für die Praxis.
Hilfreiche Links:
- OLG München, Endurteil vom 06.06.2025 – 36 U 4233/23 e
- Empfehlungen zum Schutz vor Scraping
- Scraping: Unterschiedliche Entscheidungen zum Schadensersatz
OVG Saarlouis: Kein Anspruch auf Auskunft nach DSGVO bei wirksamem Verzicht im arbeitsgerichtlichen Vergleich
Das OVG Saarlouis entschied, dass das Auskunftsrecht nach Art. 15 DSGVO disponibel ist und im Rahmen eines arbeitsgerichtlichen Vergleichs wirksam ausgeschlossen werden kann, da es Teil des Rechts auf informationelle Selbstbestimmung ist. Ein grundsätzlicher Verzicht auf dieses Recht sei daher zulässig, auch wenn es sich um ein datenschutzrechtlich bedeutsames Individualrecht handelt.
Bedeutung für die Praxis:
- Das Urteil verdeutlicht, dass Auskunftsansprüche nach Art. 15 DSGVO im Rahmen eines Vergleichs wirksam ausgeschlossen werden können und dies in Einzelfällen eine zulässige Handlungsoption darstellen kann, wenn andere Verweigerungsgründe nicht greifen.
Hilfreiche Links:
- OVG Saarlouis, Urteil vom 13.05.2025 – 2 A 165/24
- BGH: Reichweite des Auskunftsanspruchs bei Interessen Dritter
- LAG Berlin: Auskunftsanspruch bei datenschutzfremder Motivation
Gemeinsame Stellungnahme von EDSB und EDSA zu Vereinfachungsmaßnahmen
Die EU-Kommission schlägt vor, durch Änderungen an der DSGVO den Verwaltungsaufwand für KMU und mittelgroße Unternehmen zu reduzieren, etwa durch eine Anhebung der Schwelle für Dokumentationspflichten auf 750 Beschäftigte und eine klarere Definition von Unternehmensgrößen. EDPB und EDPS begrüßen das Ziel, fordern jedoch gesetzliche Präzisierungen, betonen die Bedeutung der Risikoabwägung und mahnen an, dass der Datenschutzstandard gewahrt bleiben muss.
Bedeutung für die Praxis:
- Die aktuellen Diskussionen zur Anpassung der DSGVO werden von EDPB und EDPS kritisch begleitet, haben jedoch vorerst keine unmittelbaren Auswirkungen auf die Praxis.
Hilfreiche Links:
- Stellungnahme der EDPB-EDPS: Joint Opinion 01/2025 on the Proposal for a Regulation on simplification measures for SMEs and SMCs
- Diese DSGVO-Änderungen plant die EU-Kommission
- Folge 73 Dr. Datenschutz Podcast mit Frederick Richter
Weitere wichtige Meldungen
- Symbol zur Kennzeichenerfassung als Download verfügbar
Ein neues, einheitliches Symbol zur Kennzeichenerfassung soll künftig für mehr Transparenz sorgen und wird empfohlen, etwa an Zufahrten oder in Datenschutzinformationen einzusetzen; es wurde vom DSK-Arbeitskreis Videoüberwachung entwickelt und steht bundesweit kostenlos zur Verfügung.
Symbol zur Kennzeichnung - BayLDA, Datenschutz-Checkliste für Soloselbstständige und Kleinstunternehmen aus dem Handel (vom 13.05.2025)
Die Checkliste des BayLDA unterstützt Einzelunternehmer:innen im Handel bei der praxisnahen Umsetzung datenschutzrechtlicher Anforderungen nach der DSGVO, insbesondere zu Informationspflichten, Verarbeitungsverzeichnissen und technischen sowie organisatorischen Maßnahmen.
Checkliste BayLDA - Tätigkeitsbericht 2024 Katholisches Datenschutzzentrum Frankfurt/M.
Der Tätigkeitsbericht der Katholischen Datenschutzzentrum Frankfurt liefert einen umfassenden Überblick über datenschutzrechtliche Entwicklungen, Audits und Empfehlungen aus dem Berichtsjahr, thematisiert u. a. IT-Sicherheit, Gesundheitsdaten und Videoüberwachung und zeigt die fortlaufende Relevanz professioneller Compliance‑Strukturen auf
Tätigkeitsbericht 2024 Katholisches Datenschutzzentrum - LDI NRW, Gesundheitsdaten von Beschäftigten: Das dürfen Arbeitgeber:innen tun und wissen
Die LDI NRW informiert, dass Arbeitgeber:innen Gesundheitsdaten zur Prüfung einer Fortsetzungserkrankung nur bei konkretem Verdacht verarbeiten dürfen, eine Einwilligung meist unwirksam und eine getrennte, sichere Speicherung sowie Zweckbindung der Daten erforderlich ist
Gesundheitsdaten von Beschäftigten
