Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
- KI in der Anwaltschaft: Orientierungshilfe des DAV – Was Unternehmen daraus lernen können
- Unsichtbare Schutzschilde: Wie E-Mail-Anbieter Ihre Kommunikation sichern
- Weitere News zu Datenschutz und IT
- EuG: Datentransfer-Abkommen mit den USA bestätigt
- OLG Düsseldorf: fehlende Ausübung der Sorgfaltspflichten bei Auftragsverarbeitern
- Weitere wichtige Meldungen
KI in der Anwaltschaft: Orientierungshilfe des DAV – Was Unternehmen daraus lernen können
Der Deutsche Anwaltverein (DAV) hat im Juli eine Orientierungshilfe zum Einsatz von Künstlicher Intelligenz in Kanzleien veröffentlicht, die zentrale rechtliche, datenschutzrechtliche und organisatorische Anforderungen zusammenfasst. KI kann grundsätzlich datenschutzkonform und auch im Einklang mit der anwaltlichen Verschwiegenheitspflicht eingesetzt werden, sofern vertragliche Regelungen bestehen und die Ergebnisse sorgfältig geprüft werden. Die meisten der in der Anwaltschaft eingesetzten KI-Systeme gelten als risikoarm, sodass vor allem Transparenz und Kompetenz im Fokus stehen.
Bedeutung für die Praxis
- Auch außerhalb der Anwaltschaft bietet die DAV-Stellungnahme wertvolle Orientierungshilfe. Die rechtlichen und organisatorischen Anforderungen an den KI-Einsatz, insbesondere im Hinblick auf Datenschutz und Compliance, lassen sich auf viele Branchen übertragen. Unternehmen benötigen klare Leitlinien, wie KI verantwortungsvoll und rechtssicher eingesetzt werden kann. Die Stellungnahme bietet Impulse für die Gestaltung eigener Prozesse und Verträge.
Hilfreiche Links
- DAV Orientierungshilfe zum Umgang mit KI in Kanzleien
- HAUFE Artikel zur DAV KI-Orientierungshilfe
- KI-Verordnung: verbotene Praktiken und die DSGVO
Unsichtbare Schutzschilde: Wie E-Mail-Anbieter Ihre Kommunikation sichern
Phishing und betrügerische E-Mails überschwemmen täglich unsere E-Mail Postfächer, weshalb wirksame Schutzmechanismen ein unverzichtbarer Bestandteil sind. Neben persönlichen Maßnahmen wie starken Passwörtern und Zwei-Faktor-Authentisierung sorgen bereits auch die E-Mail-Provider im Hintergrund für Sicherheit. Sie verschlüsseln unter anderem den Weg der E-Mail, damit niemand heimlich mitlesen kann (z.B. mit TLS). Sie schützen auch davor, dass E-Mails unterwegs verändert oder auf falsche Server umgeleitet werden (z. B. mit DNSSEC) und prüfen, ob die Absenderadresse wirklich echt ist und nicht gefälscht wurde (z.B. mit SPF, DKIM und DMARC), um Datenverlust, Identitätsmissbrauch und Manipulation zu verhindern.
Bedeutung für die Praxis
- Der Einsatz technischer Standards schützt vor Datenverlust, Identitätsmissbrauch und Manipulation. Dennoch ist es für Unternehmen wichtig, dass Mitarbeiter ihre eigenen Schutzmaßnahmen konsequent umsetzen – denn der größte Risikofaktor sitzt meist hinter dem Bildschirm. Ein im Rahmen von Schulungen vermitteltes Grundverständnis für technische Hintergründe hilft dabei, Mitarbeiter für Risiken zu sensibilisieren und das Bewusstsein für Informationssicherheit nachhaltig zu stärken.
Hilfreiche Links
- Dr. Datenschutz zu E-Mail-Sicherheit: Neue Empfehlungen vom BSI für Unternehmen
- BSI Empfehlung
- Dr. Datenschutz zu Spam-Mails: Identifizierung und Schutz
Weitere News zu Datenschutz und IT
- Deutsch-österreichischer Angriff auf Metas Geschäftsmodell | heise.de
- Nein, ChatGPT kann keine Fahndungsfotos scharf stellen! | zeit.de
- Siri: So ernst nimmt Apple den Datenschutz | dr-datenschutz.de
- Chefin der Signal-App droht mit Rückzug aus Europa | tagesschau.de
EuG: Datentransfer-Abkommen mit den USA bestätigt
Das Gericht der Europäischen Union (EuG) hat bestätigt, dass der seit Juli 2023 geltende Angemessenheitsbeschluss der EU-Kommission – das sogenannte EU-U.S. Data Privacy Framework – für den Datentransfer in die USA rechtmäßig ist. Geklagt hatte der französische Politiker Philippe Latombe, der befürchtete, dass europäische Daten in den USA nicht ausreichend geschützt sind. Besonders kritisierte er, dass das neue US-Datenschutzgericht (Data Protection Review Court, DPRC) nicht unabhängig genug sei, da es organisatorisch zur US-Regierung gehört und so keine wirksame Kontrolle über die US-Nachrichtendienste möglich sei. Außerdem bemängelte er, dass US-Behörden personenbezogene Daten aus Europa ohne vorherige Genehmigung einer unabhängigen Stelle sammeln könnten. Das EuG wies diese Bedenken zurück: Die USA hätten inzwischen rechtliche Garantien geschaffen, die sowohl die Unabhängigkeit des DPRC als auch eine nachträgliche gerichtliche Kontrolle der Datenerhebung sicherstellen. Das Urteil ist allerdings noch nicht rechtskräftig.
Bedeutung für die Praxis
- Unternehmen und Organisationen können somit weiterhin personenbezogene Daten rechtssicher in die USA übermitteln, sofern das empfangende US-Unternehmen nach dem EU-U.S. Data Privacy Framework zertifiziert ist. Das entlastet Unternehmen von aufwendigen Einzelfallprüfungen. Es bleibt allerdings abzuwarten, ob das Urteil in einer möglichen nächsten Instanz Bestand hat.
Hilfreiche Links
- EuG, Urteil vom 03.09.2025 – T-533/23
- Data Privacy Framework: EU-Gericht weist Klage ab
- EDBP – U.S. Data Privacy Framework FAQ für europäische Personen
OLG Düsseldorf: fehlende Ausübung der Sorgfaltspflichten bei Auftragsverarbeitern
Das OLG Düsseldorf hat einen französischen Musik-Streaming-Dienst zu 200 Euro immateriellem Schadensersatz verurteilt, weil personenbezogene Daten von Nutzern – darunter auch die des Klägers – nach Vertragsende beim israelischen Unterauftragsverarbeiter nicht gelöscht wurden. Diese Nachlässigkeit ermöglichte es unbekannten Hackern, 2022 die weiterhin gespeicherten Daten zu stehlen und anschließend im Darknet zum Kauf anzubieten. Obwohl der eigentliche Datenverstoß beim Unterauftragsverarbeiter passierte, haftet der Streaming-Dienst, da er seine Dienstleister nachweislich nicht ausreichend kontrolliert hatte. Das Gericht stellte klar, dass bereits der Kontrollverlust über die eigenen Daten und die damit verbundenen Sorgen einen Schadensersatzanspruch begründen würden. Konkrete weitere Nachteile mussten nicht nachgewiesen werden.
Bedeutung für die Praxis
- Das Urteil des OLG Düsseldorf setzt ein klares Signal an Unternehmen: Wer personenbezogene Daten an externe Dienstleister oder Unterauftragsverarbeiter weitergibt, bleibt für deren Schutz verantwortlich. In der Praxis heißt das, dass Unternehmen ihre Dienstleister sorgfältig auswählen, deren Datenschutzmaßnahmen regelmäßig kontrollieren und klare Vorgaben – etwa zur Löschung von Daten nach Vertragsende – vertraglich festlegen sollten. Schon der bloße Kontrollverlust über personenbezogene Daten und die damit verbundenen Sorgen der Betroffenen können einen Anspruch auf immateriellen Schadensersatz begründen, auch wenn keine weiteren konkreten Schäden entstehen. Unternehmen sollten daher ihre Datenschutzprozesse und die Zusammenarbeit mit Dienstleistern kritisch überprüfen, um Haftungsrisiken zu vermeiden.
Hilfreiche Links
- OLG Düsseldorf, Urteil vom 10.07.2025 – 16 U 83/24
- Anforderungen an die Dienstleisterkontrolle
- Kontrollpflichten bei Auftragsverarbeitern in der Verarbeitungskette
Weitere wichtige Meldungen
- LAG Hamm: 15.000 Euro Schadensersatz wegen unzulässiger Videoüberwachung am Arbeitsplatz
Das Landesarbeitsgericht Hamm sprach einem Arbeitnehmer 15.000 Euro Geldentschädigung zu, weil er fast zwei Jahre lang unzulässig und dauerhaft am Arbeitsplatz per Videokamera überwacht wurde. Das Gericht wertete dies als gravierenden Eingriff in das Persönlichkeitsrecht und stellte klar, dass für die Überwachung keine rechtliche Grundlage bestand. Sicherheitsinteressen oder andere Gründe konnten die Maßnahme nicht rechtfertigen.
LAG Hamm, Urteil vom 28.05205 – 18 SLa 959/24 - DSK: Orientierungshilfe zu Datenübermittlungen in Drittländer für medizinische Forschungszwecke
Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe zu Datenübermittlungen an Drittländer für medizinische Forschungszwecke veröffentlicht. Dabei wird insbesondere auf die umstrittene Rechtsgrundlage des „Broad Consent“ eingegangen. Die Orientierungshilfe erläutert die rechtlichen Grundlagen und Anforderungen der DSGVO für solche Übermittlungen und gibt Empfehlungen, wie Verantwortliche ihre Informationspflichten bei Drittlandübermittlungen erfüllen können.
Orientierungshilfe - EDPS Report zum Automated Decision Making (ADM)
Der Europäische Datenschutzbeauftragte (EDPS) hat einen Bericht zur Rolle und Wirksamkeit menschlicher Aufsicht bei automatisierten Entscheidungsprozessen veröffentlicht. Darin wird betont, dass menschliche Kontrolle oft überschätzt wird und auf falschen Annahmen beruht. Um Grundrechte und demokratische Werte zu schützen, fordert der EDPS klare Verantwortlichkeiten, transparente Systeme und verbindliche Standards, damit menschliche Aufsicht tatsächlich wirksam ist und nicht nur den Anschein von Kontrolle erweckt.
EDPS Report - OLG Stuttgart: personenbezogene Daten sind kein „Preis“
Das OLG Stuttgart hat entschieden, dass Anbieter wie Lidl Plus ihre App weiterhin als „kostenlos“ bezeichnen dürfen, auch wenn Nutzer im Gegenzug personenbezogene Daten angeben müssen. Die Bereitstellung von personenbezogene Daten gelte rechtlich nicht als Preis, im Sinne der verbraucherschutzrechtlichen Informationspflichten. Unter „Preis“ im rechtlichen Sinne würde nur eine Geldleistung oder digitale Darstellung eines Werts zu verstehen sein, nicht aber die Hingabe von Daten. Demnach bestehe keine Pflicht, diese als Gegenleistung oder Gesamtpreis auszuweisen. Eine Irreführung der Verbraucher läge nicht vor, da die Datenverarbeitung in den Teilnahmebedingungen transparent erläutert wird.
OLG Stuttgart, Urteil vom 23.September 2025 – Az: 6 UKl 2/25
