Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
Unangekündigte Vor-Ort-Prüfungen durch den HmbBfDI
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat im aktuellen Berichtszeitraum verstärkt unangekündigte Vor-Ort-Prüfungen durchgeführt. Ziel dieser Kontrollen ist es, akute Datenschutzverstöße rasch zu erkennen und zu beheben oder Beweise für weitere Maßnahmen zu sichern. Anlass für die Prüfungen sind meist konkrete Hinweise, etwa durch Beschwerden oder anonyme Meldungen. Beispielhaft konnte etwa in einer Apotheke die Einsicht sensibler Rezeptdaten durch das Anbringen einer Milchglasfolie innerhalb von zwei Stunden verhindert werden. Auch ungesicherte Aktenvernichtungstonnen oder unzulässige Ausweiskopien wurden unmittelbar vor Ort beanstandet und behoben. Die Behörde achtet dabei auf Verhältnismäßigkeit und betont die meist kooperative Zusammenarbeit mit den geprüften Stellen.
Bedeutung für die Praxis:
- Unangekündigte Vor-Ort-Prüfungen zeigen, dass Datenschutz jederzeit von den Aufsichtsbehörden überprüft werden kann und nicht nur auf dem Papier bestehen sollte. Verantwortliche sollten daher jederzeit mit Kontrollen rechnen und ihre Datenschutzmaßnahmen regelmäßig überprüfen.
Hilfreiche Links:
- Tätigkeitsbericht Datenschutz 2024 – HmbBfDI
- Was tun bei Vor-Ort-Kontrollen durch Aufsichtsbehörden?
- Ablaufplan für unangekündigte Prüfung der Datenschutzbehörde
Neue Datenschutzdokumente von Microsoft zu MS365
Microsoft hat im Service Trust Portal sechs neue Datenschutzdokumente als „M365-Toolkit“ bereitgestellt. Diese umfassen u.a. ein Deckblatt zum M365-Toolkit, Beispiele für Verzeichnisse der Verarbeitungstätigkeiten, Schwellwertanalysen, Rechtsgrundlagen für typische M365-Einsatzszenarien, eine Muster-Datenschutzerklärung sowie Erläuterungen zur Anonymisierung. Die Dokumente wurden in Zusammenarbeit mit den Datenschutzaufsichten aus Bayern und Hessen erstellt und richten sich vor allem an kleine und mittlere Unternehmen (KMU), um sie bei der Umsetzung der DSGVO zu unterstützen. Für den Zugriff ist ein Microsoft-Account erforderlich. Zusätzlich gibt es eine neue Zusatzvereinbarung (M1229) zum Data Protection Addendum (DPA), die auf Rückmeldungen deutscher Behörden basiert und von CSP-Partnern angefordert werden kann.
Bedeutung für die Praxis:
- Der Einsatz von Microsoft 365 bleibt datenschutzrechtlich herausfordernd, insbesondere hinsichtlich Transparenz, Datenübermittlung in Drittländer und Kontrolle über die Daten. Die neuen Dokumente und die Zusatzvereinbarung bieten jedoch wertvolle Hilfestellung und können Unternehmen und öffentlichen Stellen mehr Rechtssicherheit bei der Nutzung von Microsoft 365 verschaffen. Eine individuelle Prüfung bleibt dennoch unerlässlich.
Hilfreiche Links:
- Deckblatt M365 Toolkit, VVT, Schwellenwertanalysen, Rechtsgrundlagen, DSE, Erläuterungen zu Microsofts Verständnis der Anonymisierung von Daten
- Datenschutz & Microsoft 365: DSGVO-konformer Einsatz möglich?
- Datenschutzaufsichtsbehörde: FAQs zu Microsoft Office 365
Weitere News zu Datenschutz und IT
- Paypal-Zugangsdaten im Darknet: Was Nutzer jetzt tun sollten | wdr.de
- Forschungsministerin attackiert Datenschutz-Doppelmoral | golem.de
- Darauf sollten Sie achten, bevor Sie Apps eine Standortfreigabe erteilen | spiegel.de
- Googles KI-Suche: Berichte über Traffic Einbruch wegen „fehlerhafter Methoden“ | heise.de
- Microsoft 365 Copilot bekommt ein Gedächtnis | stadt-bremerhaven.de
- BSI mahnt: „Windows 10 wird unsicher“ – rascher Wechsel nötig | heise.de
Urteil zum Verbot der Facebook-Fanpages der Bundesregierung
Im Verfahren vor dem VG Köln stritt das Presse- und Informationsamt der Bundesregierung (BPA) gegen eine Anordnung der Bundesdatenschutzbeauftragten (BfDI), die Facebook-Fanpage des BPA wegen angeblicher Datenschutzverstöße abzuschalten. Das Gericht entschied, dass das BPA weder gegen § 25 TTDSG noch gegen die DSGVO verstoßen habe, da es nicht als Verantwortlicher für die Datenverarbeitung gelte und somit nicht Adressat der einschlägigen Vorschriften sei; die Untersagungsverfügung der BfDI war daher rechtswidrig.
Bedeutung für die Praxis:
- Die Entscheidung des VG Köln verdeutlicht, dass Behörden beim Betrieb von Social-Media-Seiten wie Facebook-Fanpages nicht automatisch als datenschutzrechtlich Verantwortliche gelten. Für die Praxis bedeutet das zunächst mehr Rechtssicherheit für öffentliche Stellen, die Social-Media-Angebote nutzen. Allerdings bleibt die Rechtslage unsicher, da die BfDI Berufung eingelegt hat und insbesondere die Anforderungen an die gemeinsame Verantwortlichkeit sowie die Anwendung von § 25 TTDSG (jetzt TDDDG) weiterhin umstritten sind. Die weitere Entwicklung in der Berufungsinstanz bleibt daher abzuwarten.
Hilfreiche Links:
- VG Köln, Urteil vom 22.07.2025 – Az.: 13 K 462/22
- Facebook Fanpage: Datenschutzprobleme und Lösungsansätze
- BfDI verbietet den Betrieb der Facebook-Fanpage
Urteil zur Darlegungs- und Beweislast bei datenschutzrechtlichem Löschungsanspruch
Im Verfahren vor dem OLG Nürnberg verlangte die Klägerin von einer Auskunftei die Löschung von Einträgen über frühere Zahlungsschwierigkeiten, nachdem sie ihre Schulden beglichen hatte. Das Gericht wies die Klage ab und entschied, dass die Speicherung der Daten für drei Jahre zur Bewertung der Kreditwürdigkeit zulässig sei und die Klägerin keine besonderen Umstände für eine vorzeitige Löschung dargelegt habe; auch Ansprüche auf Berichtigung oder Unterlassung wurden mangels Fehlerhaftigkeit der Daten bzw. Wiederholungsgefahr abgelehnt.
Bedeutung für die Praxis:
- Das Urteil verdeutlicht, dass Betroffene die Voraussetzungen eines Löschungsanspruchs aktiv darlegen und beweisen müssen. Verantwortliche können sich somit auf eine gewisse Beweiserleichterung berufen, solange sie im Rahmen ihrer Rechenschaftspflicht die Rechtmäßigkeit der Verarbeitung gegenüber Aufsichtsbehörden belegen können. Für die Praxis bedeutet dies: Betroffene sollten konkrete Umstände vortragen, die eine vorzeitige Löschung rechtfertigen, während Verantwortliche ihre Interessenabwägung und Speicherfristen klar dokumentieren sollten, um im Streitfall abgesichert zu sein.
Hilfreiche Links:
- OLG Nürnberg, Urteil vom 11.06.2025 – Az.: 3 U 383/25
- Bisherige Speicherdauer von Auskunfteien vs. DSGVO
- Ohne Daten kein Kredit? – LfDI verwarnt Auskunftei
Weitere ergangene Urteile
- Löschung personenbezogener Daten in Strafakten
Das OVG Nordrhein-Westfalen stellt klar, dass Ansprüche auf Löschung personenbezogener Daten aus Strafverfahrensakten sich ausschließlich nach der Strafprozessordnung und dem BDSG richten. Solange die gesetzlichen Aufbewahrungsfristen nicht abgelaufen sind, bleibt die Speicherung zulässig; rechtliche Bewertungen in Strafakten gelten zudem nicht als personenbezogene Daten im Sinne des Datenschutzrechts. Ein Anspruch auf Löschung besteht daher regelmäßig nicht.
OVG Nordrhein-Westfalen, Beschluss vom 27.08.2025 – 16 E 885/23
- Dringlichkeit und Datenschutz bei Meta AI-Tool
Das OLG Schleswig entschied, dass ein Verbraucherschutzverband zu spät gegen die angekündigte Verarbeitung personenbezogener Daten durch das Meta AI-Tool vorging. Da der Antrag auf einstweilige Verfügung erst mehr als einen Monat nach Bekanntwerden der geplanten Datenverarbeitung gestellt wurde, fehlte die erforderliche Dringlichkeit; der Antrag wurde abgewiesen.
OLG Schleswig, Urteil vom 12.08.2025 – 6 UKI 3/25
- BfDI, Handreichung zur Nutzung sozialer Netzwerke durch öffentliche Stellen des Bundes
In ihrer aktuellen Handreichung gibt die BfDI Hinweise, wie öffentliche Stellen des Bundes soziale Netzwerke datenschutzkonform nutzen können, insbesondere bei gemeinsamer Verantwortlichkeit mit dem Plattformbetreiber. Sie betont, dass eine Einwilligung der Nutzer meist nicht als Rechtsgrundlage in Betracht kommt und stattdessen die Wahrnehmung öffentlicher Aufgaben oder rechtliche Verpflichtungen maßgeblich sind. Zudem müssen Transparenzpflichten, Datenschutz-Folgenabschätzungen, technische und organisatorische Schutzmaßnahmen (Privacy by Default) sowie interne Leitfäden zur Nutzung sozialer Medien beachtet werden.
BfDi, Handreichung-Social-Media
