Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
- Teams ermöglicht Büroanwesenheitserfassung
- Microsoft Exchange-Server 2016/2019: Support-Ende – Zehntausende Systeme in Deutschland gefährdet
- Weitere News zu Datenschutz und IT
- FAQs der Kommission: Ein Wegweiser durch die KI-VO
- BGH: Arbeitnehmer sind regelmäßig keine Verantwortlichen im Sinne der DSGVO
- Weitere wichtige Meldungen
Teams ermöglicht Büroanwesenheitserfassung
Ab Dezember 2025 steht in Microsoft Teams eine neue Funktion zur Verfügung: Automatische Anwesenheitserfassung von Mitarbeitenden im Büro. Ziel der Neuerung ist es, den Arbeitsort automatisch festzulegen und die hybride Zusammenarbeit zu unterstützen. Dies geschieht durch die Erkennung, ob sich ein Mitarbeiter mit dem unternehmenseigenen WLAN verbunden hat. Microsoft betont, dass diese Funktion standardmäßig nicht aktiviert ist, sondern seitens der IT-Verantwortlichen des jeweiligen Unternehmens mit Zustimmung des Nutzers einzuschalten ist.
Bedeutung für die Praxis
- Diese Funktion bietet Unternehmen die Möglichkeit, hybride Arbeitsmodelle besser zur organisieren, bringt jedoch auch Risiken mit sich. Vor der Einführung ist eine gründliche Prüfung im Hinblick auf Arbeitsrecht und Datenschutz unerlässlich. Fehlen klare Regeln, Transparenz und echte Freiwilligkeit, können rechtliche Auseinandersetzungen sowie ein Vertrauensverlust bei den Beschäftigten die Folge sein.
Hilfreiche Links
- Microsoft Teams kann ab Dezember Büroanwesenheit erfassen
- Einwilligung im Datenschutz – Das ist zu beachten
- Datenschutz im Unternehmen: DSGVO einfach umsetzen
Microsoft Exchange-Server 2016/2019: Support-Ende – Zehntausende Systeme in Deutschland gefährdet
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass seit dem Ende des Supports für Microsoft Exchange 2016 und 2019 am 14. Oktober 2025 zehntausende Exchange-Server mit offen aus dem Internet erreichbarem Outlook Web Access laufen und durch fehlende Sicherheitsupdates einem erhöhten Sicherheitsrisiko ausgesetzt sind.
Bedeutung für die Praxis
- Das BSI rät dazu, betroffene Exchange-Server auf die aktuelle Version „Exchange SE“ zu aktualisieren oder auf alternative Lösungen umzusteigen. Zwar stellt Microsoft bis 14. April 2026 ein kostenpflichtiges Extended Security Update-Programm bereit, dieses verschiebt notwendige Maßnahmen zum Upgrade bzw. zur Migration der Systeme jedoch lediglich um maximal sechs Monate. Da Exchange-Server regelmäßig personenbezogene Daten verarbeiten, verstößt der fortgesetzte Betrieb veralteter Versionen in der Regel gegen die DSGVO.
Hilfreiche Links
- Supportende für Exchange Server 2016 und 2019
- Microsoft Exchange: Gefährdung für zehntausende Server nach Support-Ende für Versionen 2016 und 2019
- BSI-Warnung: Über 30.000 veraltete Exchange-Server in Deutschland
Weitere News zu Datenschutz und IT
- Legal-Tech: Wie KI-Anwälte den Rechtsmarkt aufmischen | t3n.de
- Sicherheit: Hacker nehmen schlecht abgesicherte Mittelständler in den Fokus | handelsblatt.com
- Cyberkriminalität: Wenn IT-Mitarbeiter Zeitbomben legen | wiwo.de
- Cybersicherheit im Gastgewerbe: Ausweis beim Check-in hochgeladen – zack, steht er im Netz | zeit.de
- Cyberangriff auf Jaguar kostet britische Wirtschaft fast zwei Milliarden Pfund | handelsblatt.com
- Cyberkriminelle erbeuten Kundendaten von Modekonzern Mango | heise.de
- Analyse der EU-Behörde: Erpresser-Software wird zum europäischen Sicherheitsproblem | spiegel.de
FAQs der Kommission: Ein Wegweiser durch die KI-VO
Die EU-Kommission stellt mit ihrem „AI Act Service Desk“ eine umfassende Sammlung von häufig zum AI Act bzw. zur KI-Verordnung gestellten Fragen und Antworten hierzu bereit, die kontinuierlich aktualisiert wird.
Bedeutung für die Praxis
- Da bislang eine gefestigte Rechtsprechung zur Auslegung der KI-VO fehlt, besteht in diesem Bereich grundsätzlich rechtliche Unsicherheit. Die FAQ der EU-Kommission bieten eine wesentliche Orientierungshilfe und liefern praktische Hinweise für die Auslegung der Verordnung.
Hilfreiche Links
- AI Act Service Desk
- AI Act Service Desk Frequently Asked Questions
- KI-Verordnung: verbotene Praktiken und die DSGVO
BGH: Arbeitnehmer sind regelmäßig keine Verantwortlichen im Sinne der DSGVO
Der Bundesgerichtshof (BGH) stellte in einem Beschluss klar, dass Arbeitnehmer in der Regel nicht als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO gelten. Arbeitnehmer des Verantwortlichen seien im Sinne des Art. 29 DSGVO „unterstellte Personen“.
Bedeutung für die Praxis
- Der Arbeitgeber wäre also regelmäßig der primäre Verantwortliche für die Datenverarbeitung und müsste sicherstellen, dass seine Weisungen von seinen Mitarbeitern korrekt ausgeführt werden.
Hilfreiche Links
- Beschluss des BGH (VI ZR 297/24) vom 07.10.2025 im Volltext
- Urteil des EuGH (C-741/21) vom 11.04.2024 im Volltext
- Bestimmung der Verantwortlichkeit im Sinne der DSGVO
Weitere wichtige Meldungen
- HmbBfDI veröffentlicht Checkliste für die Datenschutz- und Datensicherheitsstandards bei Anträgen auf Datenzugang nach Art. 40 Abs. 4 DSA
Seit dem 29.10.2025 haben Forschende die Möglichkeit, bei sehr großen Online-Plattformen und Suchmaschinen einen Zugang zu Daten zu beantragen, um systemische Risiken zu erforschen. Die vom HmbBfDI bereitgestellte Checkliste zeigt auf, wie diese die dafür notwendige Einhaltung der datenschutzrechtlichen Anforderungen nachweisen können.
HmbBfDI-Information für Forschende zum Zugang zu nicht-öffentlichen Plattformdaten - EDPS veröffentlicht aktualisierte Leitlinien zu „Generative AI and the EUDPR“
Der Europäsche Datenschutzbeauftragte (EDPS bzw. EDSB) hat seine Leitlinien zur generativen künstlichen Intelligenz unter der DSGVO überarbeitet und ergänzt. Diese bieten detailliertere Orientierungshilfen, die die Entwicklung generativer KI-Systeme und -Technologien, deren Nutzung durch EU-Organen, -Einrichtungen, -Ämtern und -Agenturen und die Ergebnisse der Überwachungs- und Kontrolltätigkeiten des EDSB berücksichtigen.
EDPS Guidelines on generative AI and the EUDPR - DSK veröffentlicht Orientierungshilfe zu datenschutzrechtlichen Besonderheiten generativer KI-Systeme mit RAG-Methode
Die Datenschutzkonferenz (DSK) veröffentlichte eine Orientierungshilfe hinsichtlich der Umsetzbarkeit der DSGVO-Grundsätze in KI-Systemen mit Retrieval Augmented Generation (RAG).
DSK-Orientierungshilfe bzgl. RAG-Systeme - SURF B.V. veröffentlicht DPIA für Microsoft 365 Copilot for Education
SURF B.V. veröffentlichte eine Datenschutz-Folgenabschätzung für die Nutzung von Microsoft Copilot 365 for Education und rät Bildungs- und Forschungseinrichtungen zur Vorsicht bei dessen Einführung. Denn trotz Verbesserungen an der KI-Anwendung seien nicht alle Risiken überzeugend ausgeräumt worden.
SURFs DPIA für Microsoft 365 Copilot for Education
