Am 24. März 2026 stellte die Sächsische Datenschutz- und Transparenzbeauftragte, Fr. Dr. Julina Hundert, ihren Tätigkeitsbericht für das Jahr 2025 vor. Auf geballten 260 Seiten stellt die sächsische Datenschutzaufsichtsbehörde aktuelle datenschutzrechtliche Themen und Prüfungen aus dem vergangenen Jahr aus Wirtschaft und Verwaltung vor. Im heutigen Beitrag wollen uns einen kurzen Überblick über die wichtigsten Aspekte verschaffen.

Meldungen zu Datenschutzverletzungen und Beschwerden auf einem neuen Hoch

Hervorzuheben ist zunächst, dass es auch im Jahr 2025 einen erneuten Anstieg an gemeldeten Datenschutzverletzungen zu verzeichnen gibt. Im Berichtszeitraum sind 1.058 Meldungen nach Art. 33 DS-GVO bei der Aufsichtsbehörde abgesetzt wurden. Dies ist im Vergleich zum Vorjahr eine Steigerung um ca. 5%. Zu den häufigsten Verletzungshandlungen zählen Fehlversendungen, offene E-Mail-Verteiler, Verlust auf dem Postweg, Hacking bzw. Schadcode, kompromittierte E-Mail-Konten sowie Einbruch und Diebstahl. Diese Fallgruppen sind nahezu identisch zu denen des vorangegangenen Jahres.

Ein deutlicherer Anstieg ist bei den Beschwerden zu verzeichnen. So gingen im Berichtszeitraum 1.614 Eingaben bei der Behörde ein. Dies ist im Vergleich zu 2024 ein Anstieg um 29%. Der Zuwachs betraf sowohl den nichtöffentlichen als auch den öffentlichen Bereich. Sofern man ein wenig über den Tellerrand blickt, dass sind bei vielen deutschen Aufsichtsbehörden die Beschwerdezahlen deutlich angestiegen. Wie auch die sächsische Behörde betont, stellt dies zunehmend ein Ressourcenproblem dar.

Entwicklungen auf dem Gebiet der Künstliche Intelligenz

Das Thema Künstliche Intelligenz bzw. KI ist aus dem Arbeitsalltag in Verwaltung und Wirtschaft nicht mehr wegzudenken. Über die datenschutzrechtlichen Anforderungen bei der Nutzung von KI und die datenschutzrechtlichen Transparenzanforderungen bei Nutzung von KI haben wir bereits berichtet. Ebenso nimmt die Aufsichtsbehörde das Thema auf die Agenda. Interessant ist hierbei vor allem der Hinweis, dass die sächsische Landesregierung mit der Beteilung der Sächsischen Datenschutzbeauftragten Regeln zum rechtskonformen Einsatz von KI in der öffentlichen Verwaltung erarbeitet (vgl. Ziff. 1.3). Weiterhin wird das In-Kraft-Treten der Verordnung über künstliche Intelligenz (KI‑Verordnung oder KI‑VO) und der nunmehr geltenden Pflichten adressiert, Ziff. 6.1.

„Einblicke in die sächsische Webseitenlandschaft und Nachprüfung von Google Analytics“

Einen Blick wert sind die Ausführungen zur Kontrolle der Internetpräsenzen (vgl. Ziff. 4.1.1 f.) durch die Behörde. In den Jahren 2024 und 2025 wurden insgesamt 32.981 Webseiten von sächsischen Unternehmen, Vereinen und Behörden automatisiert geprüft. Eine (bekannte) Auffälligkeit war hierbei die hohe Anzahl der Einbindung von Google-Diensten ohne Einwilligung der Nutzenden. Nach schriftlichen Anschreiben im Jahr 2024 wurden 2025 dann gegen einzelne Verantwortliche, welche keine Anpassung Ihrer Webseiten vorgenommen hatten (insgesamt 803 verantwortliche Stellen) gezielt aufsichtsbehördliche Verfahren eingeleitet. Den Verantwortlichen wurde ein Informationsersuchen mit Ankündigung eines Verwaltungsverfahrens übermittelt.

Neben den Einzelverfahren wurden ebenfalls automatisierte Prüfungen durchgeführt. Im Oktober 2025 wurden so 29.260 Webseiten geprüft. Analysiert wurde der initiale Aufruf der Website sowie zwei weitere Unterseiten, ohne jegliche Interaktion mit der Website, also ohne erteilte Einwilligungen. Insgesamt 65,5 % dieser Webseiten führten ohne Einwilligung Netzwerkanfragen an Drittanbieter durch. Auffällig ist die weiterhin hohe Quantität der

Einbindungen von Google-Diensten ohne Einwilligung. Die Zahlen zeigen 8.562 Webseiten (29.3 %) mit Verbindungen zu Google LLC. Diese Verbindungen werden initiiert durch die Einbettung diverser Dienste, wie insbesondere Google Fonts, aber auch Google Tag Manager, Google Maps, Google Analytics oder Youtube. Daneben liegt nach wie vor eine hohe Anzahl an generellen Drittanbietern vor. Externe Verbindungen werden dabei insbesondere zu großen Dienstanbietern aufgebaut wie Cloudflare, Amazon und Facebook sowie zu Consent-Management-Anbietern wie Usercentrics oder eRecht24 und Webseitenbuilder wie Jimdo oder WordPress oder zu Services zur Einbindung externer Ressourcen wie OpenJS oder Fonticons. 54,4 % der Webseiten speicherten zudem Cookies. Insgesamt wurden 52.967 Cookies gesetzt, im Schnitt rund zwei Cookies pro Webseite.

Es sind allesamt interessante Zahlen und verdeutlicht für die Verantwortlichen, dass die Internetpräsenzen als Tor nach Außen datenschutzrechtlich sauber gehalten werden müssen. Wer hier Nachbesserungsbedarf hat, sollte dich dieses Tham zwingend auf die Agenda setzen.

Und dann ist da noch der Beschäftigtendatenschutz

Selbstverständlich darf auch der Beschäftigtendatenschutz als zentrales Element des Datenschutzrechtes nicht zur kurz kommen. So haben es einige bemerkenswerte Fälle in den aktuellen Bericht geschafft.

Den Anfang macht ein Prüfverfahren zum datenschutzkonformen Einsatz der Funktion „Anwesenheitsübersicht“ eines elektronischen Zeiterfassungssystems in einem Finanzamt (vgl. Ziff. 2.2.18). Hierbei verwundert insbesondere die Darstellung „Im Bereich der Finanzämter war die Funktion zunächst so ausgestaltet, dass jede/r Beschäftigte bei jeder/jedem anderen Beschäftigten eines Finanzamtes den Status einsehen konnte. Die Statusdaten umfassten zu Beginn die Angaben „anwesend“, „Telearbeit/mobiles Arbeiten“, „Dienstgang/Dienstreise“, „abwesend“ (mit hinterlegter Fehlzeit für geplante Abwesenheit, zum Beispiel Urlaub), „abwesend“ (ohne hinterlegte Fehlzeit für ungeplante Abwesenheit, zum Beispiel Pause, Kind krank.“ Den geneigten Lesern drängt sich hier bereits auf, dass dies mit den datenschutzrechtlichen Grundsätzen nicht übereinstimmen kann. Die Aufsichtsbehörde sah hierin einen Verstoß gegen das Erforderlichkeitsprinzip (hier im Rahmen des § 11 Abs 1 Satz 1 Sächsisches Datenschutzdurchführungsgesetz – SächsDSDG) sowie den Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 lit. c DS-GVO).

Auch die vorgebrachten Gründe der Personaleinsatzplanung seitens des Dienstherren konnten hier nicht überzeugen: „Es erschließt sich nicht, inwieweit die Information zum aktuellen An- und Abwesenheitsstatus und zur Angabe des Arbeitsortes, das heißt, einer Momentaufnahme überhaupt für eine Personaleinsatzplanung, geeignet sein soll […] Allgemeine und pauschale Aussagen, dass dies für die Personaleinsatzplanung vor dem Hintergrund des orts- und arbeitszeitflexiblen Arbeitens sowie einer Vielzahl von Arbeitszeitmodellen, die nicht in Planungsszenarien gefasst werden könnten, zwingend erforderlich sei, genügen den Anforderungen an eine datenschutzrechtliche Erforderlichkeit jedenfalls nicht.“ Ebenso verfangen weiteren Argumente der Organisation der Arbeitsabläufe („Der Verantwortliche trug zwar umfangreich vor und beschrieb dabei eine Vielzahl von Anwendungsfällen und Prozessen, diese ließen jedoch teilweise Zweifel aufkommen, ob sich derartige Prozesse mit der Lebenswirklichkeit bzw. üblichen Verwaltungspraxis in Einklang bringen lassen.“).

Der Fall liest sich nahezu schulbuchartig, denn die Aufsicht führt in der Folge noch zur Leistungs- und Verhaltenskontrolle sowie dem Transparenzgrundsatz aus (vgl. Art. 5 Abs. 1 lit. a) DS-GVO). Am Ende stehen Anordnungen gegenüber den 24 Finanzämtern zu Beschränkung von Zugriffsberechtigungen nach Art. 58 Abs. 2 lit. f) DS-GVO. Für die Praxis zeigt uns der Fall, dass Verarbeitungstätigkeiten, welche tendenziell die Leistungs- und Verhaltenskontrolle von Beschäftigten ermöglich, wohl geprüft und begründet werden müssen. Allein pauschale Angaben genügen – wenig überraschend – nicht.  

Spannende Fälle aus dem Beschäftigtenbereich liefert der Bericht zudem zur „Veröffentlichung von Beschäftigtendaten im Internet“ (vgl. Ziff. 2.3.1) und zur Thematik „Krankenbesuche durch den Arbeitgeber“ (vgl. Ziff. 2.3.2). Insbesondere der zweite Fall enthält eine datenschutzrechtlich interessante Ausführung, denn die Aufsichtsbehörde bezieht sich bei Ihren Ausführungen zur Einwilligung bei Gesundheitsdaten neben Art. 9 DS-GVO auf § 26 Abs. 3 BDSG. Dies streitet dafür, dass die Behörde diese Norm im Lichte der Rechtsprechung des Europäischen Gerichtshof und des Bundesarbeitsgericht weiterhin für anwendbar hält.

Fazit

Der aktuelle Tätigkeitsbericht enthält eine Vielzahl spannender und teilweise auch kurioser Fallgestaltungen (Stichwort Hasenstallfall (Ziff. 6.1.3.1). Neben den dargestellten Berichten und Fällen widmet sich die Aufsicht auch wieder dem Thema Videoüberwachung, u.a. an Tiefgaragenausfahrten (Ziff. 2.2.5), im Fitnessstudio (Ziff. 2.26), zum Schutz von Warenautomaten (Ziff. 2.2.7) und in einer Flüchtlingsunterkunft (Ziff. 2.2.8) sowie der Verarbeitung von Daten Minderjähriger, bspw. bei der Aufnahme von Videobildern bei Fußballspielen im Kinder- und Jugendbereich mithilfe von Kameradrohnen zur taktischen Auswertung (Ziff. 2.3.6). Spannend ist zudem der Fall des Telepräsenz-Avatars im Unterricht (Ziff. 2.2.9). Ein Blick in den Bericht lohnt sich daher allemal.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Es ist eine Entscheidung, von welcher man mit Fug und recht behaupten kann, dass die Datenschutzwelt auf sie gewartet hat: Es ist die Brillen Rottler Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache C-526/24. Das wird zunächst vermutlich nur Wenigen etwas sagen. Im Kern dreht sich die Entscheidung um die für die Praxis bedeutende Frage nach dem Missbrauchseinwand des Art. 12 Abs. 5 DS-GVO bei der Geltendmachung von Auskunftsansprüchen nach Art. 15 DS-GVO. Zur praktischen Umsetzung von Art. 15 DS-GVO praktischer Umsetzung haben wir bereits berichtet. Heute wollen wir nun das aktuelle Urteil zum Missbrauchseinwand näher beleuchten.

Ein Blick ins Gesetz und so…

Blicken wir doch zunächst einmal ins Gesetz. Art. 12 Abs. 5 DS-GVO lautet:

„Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

1. ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
2. sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.“

Das Gesetz zeigt uns eine Reihe unbestimmter Rechtsbegriffe: „offenkundig unbegründet“, „exzessiv“ oder aber „häufige Wiederholungen“. Kurzum: Verantwortliche haben zwar grundsätzlich die Möglichkeit einem Antrag Betroffener Personen entgegenzutreten, bisher waren die Konturen für diesen Einwand jedoch weitestgehend ungeklärt. Bisher…

Nun zu dem Eugh-Urteil

Worum geht es eigentlich. Aus dem Sachverhalt:

Im März 2023 abonnierte eine in Österreich wohnhafte natürliche Person, den Newsletter von Brillen Rottler, einem familiengeführten Optikerunternehmen mit Sitz in Arnsberg (Deutschland). Dabei gab er seine personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein und willigte in die Verarbeitung dieser Daten ein. 13 Tage später richtete die betroffene Person einen Auskunftsantrag nach Art. 15 DS-GVO an Brillen Rottler. Diese wiesen den Auskunftsantrag innerhalb der gesetzlichen Frist von einem Monat zurück, da sie ihn für missbräuchlich i.S.v. Art. 12 Abs. 5 UAbs. 1 Satz 2 DS-GVO hielten. Der „Betroffene verfolgte“ seinen Auskunftsantrag weiter und machte darüber hinaus Schadenersatz in Höhe von 1.000€ nach Art. 82 DS-GVO geltend.

In der Folge klagte Brillen Rottler dann vor dem AG Arnsberg auf Feststellung, dass dem „Betroffenen“ kein Anspruch aus Art. 82 DS-GVO zustehe. Gestützt wurde der Feststellungantrag darauf, dass aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten hervorgehe, dass der „Betroffene“ Anträge auf Auskunft über seine personenbezogenen Daten systematisch und rechtsmissbräuchlich allein zu dem Zweck stelle, eine Entschädigung für eine von ihm bewusst provozierte angebliche Verletzung seiner Rechte aus der Datenschutz-Grundverordnung zu erzwingen. Er gehe nach dem Muster vor, sich zunächst zu einem Newsletter anzumelden, dann Auskunft zu beantragen und schließlich Schadensersatz zu fordern.

Das AG Arnsberg wandte sich in der Folge mit diversen Vorlagefragen an den EuGH.

Was hat denn der Eugh nun entschieden?

Zunächst stellt der EuGH klar: „Was […] die Frage betrifft, ob ein erster Auskunftsantrag der betroffenen Person an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ angesehen werden kann, ist darauf hinzuweisen, dass, da der Begriff „exzessive Anträge“ in der DSGVO nicht definiert wird, bei seiner Auslegung nach ständiger Rechtsprechung sowohl der Wortlaut von Art. 12 Abs. 5 DSGVO entsprechend seinem üblichen Sinn im gewöhnlichen Sprachgebrauch als auch der Zusammenhang dieser Bestimmung und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden.“

Und weiter: „Insoweit bezeichnet, was den Wortlaut von Art. 12 Abs. 5 DSGVO und insbesondere den üblichen Sinn des Begriffs „exzessive Anträge“ im gewöhnlichen Sprachgebrauch anbelangt, das Adjektiv „exzessiv“ etwas, das über das gewöhnliche oder vernünftige Maß hinausgeht oder das erwünschte oder zulässige Maß überschreitet […] Allein anhand der Verwendung dieses Adjektivs, das sich sowohl auf qualitative als auch auf quantitative Merkmale bezieht, kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag exzessiv sein mag.“

Bemerkenswert ist zudem folgender Hinweis: „Zudem ergibt sich zwar aus Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO, dass Anträge „insbesondere im Fall von häufiger Wiederholung“ exzessiv sein können. Die Häufung von Anträgen einer Person kann daher ein Indiz dafür sein, dass sie exzessiv sind […] In Ansehung einer am Wortlaut orientierten Auslegung von Art. 12 Abs. 5 DSGVO kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag als „exzessiv“ im Sinne dieser Bestimmung angesehen werden kann.“

Damit aber nicht genug: „Somit ist die Zahl der Auskunftsanträge der betroffenen Person an den Verantwortlichen für sich allein nicht ausschlaggebend für dessen Recht, von der ihm durch Art. 12 Abs. 5 DSGVO eingeräumten Möglichkeit Gebrauch zu machen, auf den Antrag nicht tätig zu werden, so dass der Verantwortliche davon auch im Fall eines ersten Auskunftsantrags Gebrauch machen kann, wenn er in Ansehung aller relevanten Umstände des Einzelfalls dartut, dass eine Missbrauchsabsicht der betroffenen Person vorliegt. […] Da der Begriff „exzessive Anträge“, wie sich aus Rz. 29 des vorliegenden Urteils ergibt, eng auszulegen ist, kann sich jedoch ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen, und die Maßstäbe für die Einstufung eines ersten Auskunftsantrags als „exzessiv“ müssen (…) hoch sein.“

Der EuGH fordert für den Missbrauchseinwand zweit grundlegende Voraussetzungen:

Ein objektives sowie ein subjektives Element: „Was […] die Umstände betrifft, unter denen der erste Auskunftsantrag der betroffenen Person als „exzessiv“ i.S.v. Art. 12 Abs. 5 DSGVO eingestuft werden und somit einen Rechtsmissbrauch im Sinne der oben in den Rz. 23 und 30 angeführten Rechtsprechung begründen kann, so ist für den Nachweis einer missbräuchlichen Verhaltensweise zweierlei erforderlich, nämlich zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde, und zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden.“

Fazit

Diese letzte Klarstellung dürfte in vielen Praxiskonstellationen – wohl allen voran im Beschäftigtendatenschutz – eine gewichtige Weichenstellung sein. Es kann sich aus den Umständen des Einzelfalls ergeben, dass ein Missbrauch seitens des Betroffenen vorliegt. Insbesondere in bereits vorangetriebenen Streitigkeiten dürfte dies Relevanz entfalten, wenn zum Auskunftsanspruch gegriffen wird. Für die Einstufung möglicher objektiver Missbrauchskriterien verweist der EuGH zudem auf Erwägungsgrund 63 Satz 1 der DS-GVO in welchem die ursprünglichen Zwecke des Auskunftsanspruchs niedergelegt sind: „Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“

Klar ist allerdings auch, dass ein einfaches Berufen auf den Missbrauchseinwand seitens der Verantwortlichen nicht ausreichend sein wird. Vielmehr bedarf es der vertieften Darlegung der objektiven wie subjektiven Missbrauchskriterien.

Der Ball für die Entscheidung, ob im konkreten Fall ein Rechtsmissbrauch vorlag, liegt nun wieder beim AG Arnsberg, welches die Entscheidung unter Berücksichtigung des Urteils des EuGH treffen muss.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wir haben in unserem Blog bereits an zahlreichen Stellen über mögliche Datenschutzverletzungen sowie deren Eintrittsszenarien berichtet. Eine potenzielle Datenschutzverletzung, welche häufiger nicht die praktische Bedeutung erfährt, welche sie eigentlich genießen sollte, haben wir bisher noch unbeachtet gelassen: Weitreichende Zugriffsrechte, welche die unbefugte Kenntnisnahme von (personenbezogenen) Daten ermöglichen. Der Bayrische Landesbeauftragte für den Datenschutz (BayLfD) veröffentlichte Mitte Januar 2026 eine Kurz-Information unter dem Titel „Dateiablagen als Quelle von Datenpannen“.  Der BayLfD bietet mit seinen „Aktuellen Kurz-Informationen“ praxisnahe Hinweise zur Datenschutz-Grundverordnung für öffentliche Stellen und Unternehmen. Gründe genug also sich einmal näher mit den entsprechenden Fallkonstellationen auseinander zu setzen. Die Kurz-Information Nr. 65 soll im Mittelpunkt unseres heutigen Blog-Beitrages stehen.

First at all: Unbfugte Kenntnisnahme als Datenschutzverletzung

Zur Erinnerung: Nach Art. 4 Nr. 12 DS-GVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

In den durch den BayLfD geschilderten Fällen handelt es sich vielmals um eine unbefugte Offenlegung. Eine Offenlegung liegt dabei vor, wenn die jeweils betroffenen personenbezogenen Daten einem Empfänger gemäß Art. 4 Nr. 9 DS-GVO zur Kenntnis gelangen. Nach hier vertretener Ansicht ist es dafür unerheblich, ob es sich hierbei um einen internen oder externen Empfänger handelt.

Der Europäische Datenschutzausschuss führt hierzu in seinen Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der DS-GVO aus: „Die unrechtmäßige oder unbefugte Verarbeitung schließlich kann die Offenlegung personenbezogener Daten gegenüber (bzw. den Zugang zu personenbezogenen Daten von) Empfängern, die nicht zum Erhalt der (bzw. zum Zugang zu den) Daten befugt sind, sowie jede andere Form der Verarbeitung unter Verstoß gegen die DSGVO beinhalten.“

Abzustellen ist demnach auf die nicht vorliegende Autorisierung bzw. Befugnis zur Kenntnisnahme der Daten. Obwohl insofern ein Zusammenhang mit der Zulässigkeit der Datenverarbeitung besteht (zur Erinnerung: eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DS-GVO setzt eine Verletzung der Sicherheit voraus, nicht einen Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung), ist für die Schutzverletzung nur auf die technischen und organisatorischen Maßnahmen abzustellen.

Dagegen kann durchaus hinterfragt werden, ob die Verletzung der Sicherheit voraussetzt, dass tatsächlich eine Kenntnisnahme der personenbezogenen Daten durch unbefugte Personen erfolgt ist oder die Möglichkeit der Kenntnisnahme ausreicht. Richtigerweise wird man davon ausgehen müssen, dass in den Fällen der unbefugten Offenlegung eine Verletzung der Sicherheit bereits eingetreten ist, wenn die Offenlegung erfolgt ist. Dagegen wird man die Frage, ob tatsächlich eine Kenntnisnahme stattgefunden hat, im Rahmen der Bewertung der Höhe des Risikos nachgehen und ob möglicherweise technische und organisatorische Maßnahmen (beispielsweise Löschbestätigung ohne Sichtung von Datensätzen) das potenzielle Risiko minimieren oder ausschließen.

Nun zur besagten Kurzinformation

Zurück zum Paper des BayLfD. Betrachtet werden (zentrale) Dateiablagen in Form von Verzeichnissen auf einem Server wie auch elektronische Akten oder ähnlichem: „Oftmals sind zentrale Dateiablagen als eigene Laufwerke mit einem festen Laufwerksbuchstaben eingerichtet, auf die je nach Größe der Dienststelle alle Beschäftigten oder – etwa nach Organisationseinheiten gegliedert – größere oder kleinere Gruppen zugreifen können. Die Verzeichnisnamen in den Laufwerken sind in der Regel so gewählt, dass für die Beschäftigten ersichtlich ist, welche Kategorien von Informationen dort zu erwarten sind.“

Zur Vermeidung von Datenschutzverletzungen im Zusammenhang mit Verzeichnissen und Dateiablagen rät der ByLfD zu folgenden Maßnahmen:

• Prüfen von Berechtigungen, bevor personenbezogene Daten in einem Verzeichnis abgelegt werden;
• Im Zweifel sind neue Verzeichnisse anzulegen;
• Seitens des Verantwortlichen wird zudem das Festlegen von zentralen Anforderungen bzw. Vorgaben für Dateiablagen aufgeführt (z. B. Festlegung von Zuständigkeiten für die Löschung von Dateien, Ergreifen zusätzlicher Maßnahmen bei der Ablage von sensiblen Daten wie Erstellung von Unterverzeichnissen oder Berechtigungsbeschränkungen bzw. Vergabe von Passwörtern) sowie Vergabe von Löschfristen.

Ähnliche Problemstellung, anderes System: Microsoft SharePoint

Die Nutzung von Microsoft SharePoint als Plattform für die gemeinsame Dokumentenverwaltung bringt in seiner Verwendung häufig ähnliche Probleme mit sich: „Obwohl SharePoint durch seine Funktionen zur Versionierung, Zugriffssteuerung und Zusammenarbeit viele Vorteile bieten kann, besteht auch hier die Gefahr, dass Datenpannen auftreten, insbesondere wenn Berechtigungen nicht sorgfältig verwaltet werden.“ Bei SharePoint können Berechtigungen auf unterschiedlichen Ebenen (Site-, Bibliotheks- oder Dokumentenebene) vergeben werden. Hierdurch entsteht mitunter eine hohe Komplexität. Dies gilt insbesondere, wenn diverse Dateiablagen im SharePoint von unterschiedlichen Teams genutzt werden.

Im Vergleich zu „normalen“ Dateiablagen bietet SharePoint jedoch die Möglichkeit sogenannte Audit-Logs zu protokollieren, um potenzielle Zugriffe nachzuverfolgen. Wiederrum sollte man Vorsicht walten lassen, das die Auswertungen der Zugriffsrechte wiederrum einen Zugriff auf personenbezogene Daten darstellen kann und somit einer (datenschutzrechtlichen) Rechtfertigung bedarf.

Fazit

Der BayLfD kommt im Ergebnis daher zu den Kernaussagen, dass Betriebsmittel wie gemeinsame Datenablagen oder Austauschverzeichnisse eine häufige Quelle von Datenpannen bzw. Datenschutzverletzungen sein können und dass bei der Arbeit sowie der Administration solcher Datenablagen und Verzeichnisse durch leicht umsetzbare Routinen einfache Verletzungshandlungen vermieden werden können. Beide Ansichten überzeugen. In der täglichen Arbeit stellen wir ebenso fest, dass leicht zu derartigen Verletzungen durch unbefugte Offenlegungen kommen kann. All zu leicht sind weitreichende (Lese-)Rechte eingerichtet, ohne dass es hierfür entsprechende Rechtfertigungen gibt. Ein handfestes Berechtigungskonzept kann hier beispielsweise Abhilfe schaffen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wir lehnen uns sicherlich nicht zu weit aus dem Fenster, wenn wir die Behauptung aufstellen, dass Art. 82 DS-GVO – Haftung und Recht auf Schadenersatz – zu den meist diskutiertesten Normen in der Datenschutz-Grundverordnung gehört. Wir haben uns in der Vergangenheit ebenfalls bereits mehrfach mit den Fragen rund um den datenschutzrechtlichen Schadenersatz befasst, beispielsweise im Rahmen der Frage zum Schadenersatz wegen verspäteter Auskunftserteilung. Grundlegende Beiträge zum Schadenersatzanspruch lassen sich zudem hier, hier und hier finden.

In unserem heutigen Beitrag soll es nunmehr um eine Entscheidung des Amtsgericht Wesel (Urt. v. 23.7.2025, 30 C 138/21) gehen, in welcher das Gericht über einen Schadenersatzanspruch nach Art. 82 DS-GVO eines Ehepaares gegenüber der (ehemaligen) Steuerkanzlei aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung infolge einer Fehlversendung zu entscheiden hatte.

Worum geht es in dem Urteil?

Die Kläger – das Ehepaar – waren über mehrere Jahre Mandanten der beklagten Steuerberaterkanzlei. Im August 2019 hatten sie der beklagten Steuerkanzlei per E-Mail mitgeteilt, dass sich ihre bisherige Anschrift geändert hätte. Die Kläger wiesen in der Folge vorsichtshalber noch mehrfach auf die neue Adresse hin. Im Juli 2020 beauftragten die Kläger die Kanzlei mit der Erstellung der Einkommenssteuererklärung für das Jahr 2019. Bei der Erstellung der Erklärung wurden automatisch die Kontaktdaten der vorherigen Erklärung eingelesen, die jedoch noch die ehemalige Adresse der Kläger enthielt. Aus diesem Grund wurde die Erklärung an die ursprüngliche Adresse versendet. Die (unberechtigten) Empfänger haben den Umschlag wegen der Namensähnlichkeit versehentlich geöffnet und ebenso vom Inhalt Kenntnis genommen.

Was hat das Gericht entschieden?

Das Gericht stellt zunächst fest, dass die Steuerkanzlei als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO gegen den Grundsatz der Richtigkeit aus Art. 5 Abs. 1 lit. d) DS-GVO („Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein […]“) verstoßen habe, indem diese die ehemalige (und veraltete) Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht hatte. Als unerheblich wurde vom Gericht angesehen, dass die veraltete Adresse durch das Programm bei der Erstellung der Erklärung automatisch eingefügt worden war. Dies gilt bereits deswegen, weil die Kanzlei dafür Sorge zu tragen hat, dass die veraltete Adresse überhaupt nicht mehr im System hinterlegt ist.

Im Rahmen der Betrachtung von Art. 82 Abs. 1 DS-GVO stellt der Verstoß gegen den Grundsatz der Richtigkeit der Datenverarbeitung zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht zu begründen. Noch einmal zum besseren Verständnis der Inhalt von Art. 82 Abs. 1 DS-GVO:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Den Klägern ist infolge des Verstoßes der verantwortlichen Steuerkanzlei auch ein Schaden entstanden. Das Gericht nimmt hierzu zunächst Bezug auf die geltende Rechtsprechung des Europäischen Gerichtshof und des Bundesgerichtshof: „Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert […]. Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten.“

Der Kontrollverlust des Ehepaares über Ihre personenbezogenen Daten ist demnach durch die irrtümliche Versendung der Einkommenssteuererklärung eingetreten, denn so wurde dem Ehepaar die Kontrolle darüber entzogen, welchem Personenkreis die sie betreffenden personenbezogenen Daten zugänglich waren. Bemerkenswert ist zudem, dass das Gericht feststellt, dass der Kontrollverlust bereits durch die Fehlversendung eingetreten sei, auf das tatsächliche Öffnen des Briefes kommt es insoweit nicht an, denn die Daten waren bereits dem Verfügungskreis der Kläger entzogen.

Die Kläger hätten sich zudem wegen der Weitergabe der sensibelsten und persönlichsten Daten, insbesondere Gesundheitsdaten, exponiert, stigmatisiert und bloßgestellt gefühlt, zumal sie als Bewohner einer ländlichen Gegend, in der es „viel Gerede“ gebe, sehr auf Diskretion bedacht seien.

Das Amtsgericht Wesel spricht nach alledem den Klägern einen Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu.

Was bleibt für die Praxis?

Leicht verwundert lässt einen der Sachverhalt dennoch zurück. Insbesondere der Umstand, dass an der ehemaligen Adresse tatsächlich namensgleiche Personen wohnten lädt zumindest dazu ein, darüber nachzudenken, ob nicht zwischen den Klägern und den „unberechtigten“ Empfängern vielleicht ein Verwandtschaftsverhältnis besteht. Andernfalls wäre es schon ein reichlich großer Zufall…

Im Ergebnis wurde den Klägern gemeinsam ein Schadenersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO in Höhe von 1.000 € zugesprochen. Die Betonung muss hier auf „gemeinsam“ liegen. Dies bedeutet eben auch, dass jedem Ehepartner jeweils nur 500 € zugesprochen wurde. Hinzu tritt, dass der Umfang des zugesprochenen Schadens erheblich unterhalb der von den Klägern angegebenen Größenordnung (insgesamt 15.000 €, je also 7.500 €) liegt.

Das Gericht führt hierzu aus: „Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind.“

Was bleibt also? Schadenersatzanspruch ja, aber bitte im Rahmen. Verantwortliche (Steuer-)Kanzleien sind dennoch gut beraten bei der täglichen Arbeit die tragenden Grundsätze des Datenschutzrechtes zu berücksichtigen. Nur weil eine verantwortliche Stelle einer berufsrechtlichen Verschwiegenheit unterliegt, ist dies nicht gleichbedeutend mit einer Nichtanwendbarkeit des Datenschutzrechtes.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

„Alle Jahre wieder…“ – So beginnt eines der wohl schönsten und bekanntesten Kinderweihnachtslieder. Außerdem ist es mittlerweile auch gute Tradition geworden, dass wir im Dezember einen kurzen Rückblick auf das vergangene Jahr werfen, also eben auch alle Jahre wieder. Im ersten Teil unseres Jahresrückblick 2025 wollen wir uns den Monaten Januar bis Juni 2025 widmen. Neben unseren Einzelbeiträgen spazieren wir natürlich über das gesamte Jahr hinweg durch die Datenschutz-Grundverordnung.

Januar

In den ersten Januartagen des Jahres sorgten allem vorab zwei Urteile für Aufsehen. In seinem Urteil vom 8. Januar 2025 hat das Gericht der Europäischen Union (EuG) die Europäische Kommission aufgrund einer rechtswidrigen Datenübermittlung in die USA (konkret an Amazon Web Services – AWS) zu einem Schadenersatz in Höhe von 400€ verurteilt (Rs. T-354/22). Zudem beschäftigte sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 9. Januar 2025 (Rs. C-394/23) mit dem berechtigten Interesse nach Abwägung (Art. 6 Abs. 1 UAbs. 1 lit f) DS-GVO) sowie mit den Anschlussfragen, in welchem Umfang über die Interessenabwägung informiert werden muss und welche Auswirkungen eine fehlende Information auf die Datenverarbeitung hat. Mit dem zweiten Urteil haben wir uns hier auseinandergesetzt.

Während die Evaluierung der Datenschutz-Grundverordnung noch auf sich warten lässt, gab es bereits eine Reform des Datenschutzes der evangelischen Kirche, über die wir berichtet haben. Allerdings sei noch erwähnt, dass die EKD-Synode bereits im November 2024 beschlossen und mit Wirkung zum 1. Mai 2025 ihre Wirkung entfaltet hat.

Abseits von den inhaltlichen Themen war im Januar dieses Jahres für die Datenschutzwelt vor allem das Ableben von Jürgen Taeger ein zentrales und trauriges Thema. Wir haben in unserem Block ebenfalls einen Nachruf verfasst.

Februar

Im Februar gab es mal wieder Anlass sich mit den Fragen rund um Datentransfers in die USA und konkret mit dem EU-U.S. Data Privacy Framework hier und hier zu beschäftigten. Daneben spielte auch der Evergreen, die E-Mail-Verschlüsselung eine Rolle.  Schuld ist das Urteil des Oberlandesgericht (OLG) Schleswig-Holstein vom 18. Dezember 2024 (Az. 12 U 9/24). Das OLG entschied in der Sache, dass die Sicherheitsmaßnahmen (hier: Transportverschlüsselung) nicht für den konkreten Fall der E-Mail-Kommunikation angemessen und ausreichend gewesen sei. Alles zum Nachlesen in unserem Beitrag.

März

Wie derzeit die Politik, beschäftigen auch wir uns mit der Rolle des Datenschutzbeauftragten (DSB). In unserem ersten Beitrag widmen wir uns der Vertraulichkeit des DSB. Hintergrund: Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Doch was bedeutet das konkret? Die Antwort gibt es hier. Anschließend gehen auch wir der Frage nach: Was wird aus der Pflicht zur Benennung eines Datenschutzbeauftragten? Die Frage ist für die Umsetzung des Datenschutzrechtes in den verantwortlichen Stellen äußert praxisrelevant.  

Die Informationssicherheit kommt bei uns keines Falles zu kurz. Wir befassen uns mit den Anforderungen der Informationssicherheit auf Auslandsreisen und setzen uns mit dem Fakt auseinander, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) nunmehr als Zertifizierungsstelle nach dem (Rechtsakt zur Cybersicherheit), auch „Cybersecurity Act“ (CSA) fungiert.

In einem weiteren Beitrag betrachten wir eine Schnittstelle zwischen IT-Sicherheit und Datenschutz, konkret welche Erlaubnisnorm trägt, wenn die Umsetzung technischer und organisatorischer Maßnahmen – z. B. nach der NIS-2-Richtlinie – die Verarbeitung personenbezogener Daten fordert. Außerdem hat auch die Sächsische Datenschutz-Aufsichtsbehörde ihren Tätigkeitsbericht für das Jahr 2024 im März veröffentlicht, welchen wir natürlich auch in einem Beitrag betrachtet haben.

April

Im April knüpfen wir an das Thema der Verarbeitung personenbezogener Daten zur Sicherstellung von IT-Sicherheit bzw. Datensicherheit an. Dieses Mal richten wir mit unserem Beitrag den Blick auf Art. 32 DS-GVO.

Wie eingangs bereits angeteasert steht auch eine Reform der Datenschutz-Grundverordnung in Rede. Mit Blick auf die lange Entstehungsgeschichte, wurde in Fachkreisen immer wieder spekuliert, die Europäische Kommission habe in Bezug auf die DS-GVO Angst, die Büchse der Pandora zu öffnen. Doch zwischenzeitlich scheint die Europäische Kommission erkannt zu haben, dass die fortschreitende Digitalregulierung in der Europäischen Union sich zu einem Standortproblem entwickeln könnte. Dass die DS-GVO in den kommenden Jahren eine Anpassung erfährt, wird demnach immer wahrscheinlicher.

Mai

In Fortsetzung der Beiträge aus März und April befassen wir uns auch im Mai mit dem Thema der Sicherheitsanforderungen als Rechtspflicht, der Beitrag befasst sich mit weitergehenden Fragen rund um Art. 32 DS-GVO. Ebenso schauen wir bei Art. 6 Abs. 1 DS-GVO schauen wir einmal genauer hin und fragen uns: Was steht eigentlich in Art. 6 Abs. 1 UAbs. 2 DS-GVO? Diese Norm kann ebenfalls Auswirkungen im Bereich IT- und Cybersicherheit für öffentliche Stellen bzw. Behörden haben.

Juni

Ein anderes datenschutzrechtlich sehr bedeutsames und für die Praxis relevantes Thema adressieren wir im Juni: Anforderungen bei dem Einsatz von KI-Systemen – in einem ersten Beitrag „Datenschutzrechtliche Transparenzanforderungen bei Nutzung von KI“. Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung.

Eine weitere für die Praxis bedeutende Norm ist Art. 82 DS-GVO. Hier wird der datenschutzrechtliche Schadenersatzanspruch normiert. So kann es möglicherweise Schadenersatz wegen verspäteter Auskunftserteilung geben.

Last but not least widmet sich ein Beitrag einem Urteil zu Cookie-Banner und Google Tag Manager des Verwaltungsgerichtes Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22). In dem Urteil trifft das Gericht konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager.

… und in der kommenden Woche geht es weiter mit unserem Jahresrückblick mit den Monaten Juli bis Dezember 2025!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie bereits in den vergangenen Jahren möchten wir uns auch 2025 in den grauen Novembertagen dem Lagebericht zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) widmen. Der aktuelle Bericht des BSI für den Zeitraum 1. Juli 2024 bis 30. Juni 2025 ist hier abrufbar. Der heutige Beitrag soll einige der Themen aus dem aktuellen Berichtszeitraum aufzeigen.

Die Lage bleibt angespannt

Laut BSI hat sich die Lage zur IT-Sicherheit zwar grundlegend stabilisiert, verbleibt aber auf einem hohen angespannten Niveau. Zudem wurden im aktuellen Berichtszeitraum neue Angriffsinfrastrukturen bekannt. Im Trend bleibt zudem das Phishing, wobei es hier immer attraktiver wird, maliziöse Webseiten zu verwenden. Maliziöse URL sind Webadressen, auf denen Angreifer Schadprogramme zum Download bereithalten und diese zum Beispiel über Spam‑Mail‑ oder Phishing‑Kampagnen verbreiten. Die Seiten sind sehr oft authentisch gestaltet und leiten die Nutzenden aber beim Anklicken auf bösartige Webseiten um, laden schädliche Software herunter oder verleiten Nutzende zur Preisgabe vertraulicher Informationen. Die Anzahl maliziöser Seiten wächst seit Jahren kontinuierlich. Die durchschnittliche Lebensdauer einer solchen Webseite lag im Berichtszeitraum bei ca. 1,77 Stunden, mit Schwankungen.

Das BSI führt hierzu weiter aus: „Gängige Methoden im aktuellen Berichtszeitraum waren etwa Typo‑Squatting, bei dem die URLs Tippfehlervarianten einer bekannten Marke oder Webseite enthalten (z. B. „facebok.com“ anstelle von „facebook.com“), oder Brand‑Jacking, bei dem der Name einer bekannten Marke oder eines Unternehmens in die URL eingesetzt wird, um Nutzende zu täuschen und auf Phishing‑Seiten zu leiten.“

Angriffe aus dem Web und Schwachstellenhoch

Mit Blick auf die Angriffsflächen zeigt sich, dass diese durch die fortschreitende Digitalisierung eindeutig im Wachstum sind. Von wachsender Bedeutung sind insbesondere Web-Flächen mit zuweilen einsehbaren sensiblen Informationen. Darüber hinaus können Schwachstellen in jeglicher Form von IT-Produkten auftreten.

Laut BSI bieten auch digitale Kommunikationswege wie E-Mail-Adressen, Social-Media-Accounts, Messenger-Accounts und SMS-fähige Telefonnummern weiterhin große, schwer zu schützende Angriffsflächen. Diese Dienste stellen eine essenzielle Grundlage für den Informationsaustausch dar, bieten gleichwohl große Angriffsflächen, um Schadsoftware oder Links zu maliziösen Webseiten und Schadcode‑behafteten Webservern zu verteilen, Daten zu stehlen, Systeme zu infiltrieren oder Nutzende zu täuschen. Wissenswerte Informationen dazu finden sich hier.

Ein weiteres Thema sind KI-Schwachstellen. Große Sprachmodelle (Large Language Models, LLMs) wie GPT, Gemini, Claude oder LLaMA werden bereits von großen Bevölkerungsteilen im Alltag verwendet. Hiermit gehen Gefahren wie verringerte menschliche Kontrolle, Unschärfen, Halluzinationen usw. einher. Werbeinteressen sowie zufällig oder durch Cyberangriffe manipulierte, bösartige Trainingsdaten können Entscheidungen zudem verzerren. Angreifer manipulieren bereits LLMs, um bestimmte Narrative zu verstärken, Produktwahl oder Preise zu verändern. Innentäter oder in interne Systeme eingedrungene Angreifer haben durch Komplexität und Unschärfe größere Chancen, in einem internen Netzwerk unentdeckt zu bleiben.

Exploits und Datenleaks rücken vermehrt in den Vordergrund

Ein gefährlicher Trend zeichnet sich zudem dadurch ab, dass im aktuellen Berichtszeitraum mehr Schwachstellen-Exploits und mehr Datenleaks aufgetreten sind. Zwar bleibt die Zahl der Ransomware-Angriffe weitgehend unverändert, die Angriffe führten aber in zahlreichen Fällen zu Datenleaks.

Problematisch ist hierbei, dass im Vergleich zu Angriffen mit dem Ziel die Datenbestände der Opfer zu verschlüsseln, bei Datenleaks die Backupstrategien der Organisationen nicht helfen. Außerdem erpressen Angreifer häufiger mit Daten, die sie aus unzureichend gesicherten Datenbanken oder aus schwachstellenbehafteten Systemen im Internet exfiltrieren. Hinsichtlich der Angriffsvektoren zeigte sich, dass die Ausnutzung von Schwachstellen in Web-Angriffsflächen mittels Exploitation weiter an Bedeutung gewann, wohingegen Angriffe per E-Mail spürbar zurückgegangen sind, was wiederrum auf eine voranschreitende Durchdringung der digitalen Kommunikation durch Kanäle wie etwa Social Media oder Messenger zurückzuführen ist.

Das Zauberwörtchen heißt Resilienz

Das BSI ruft seit Jahren zu mehr Resilienz auf. Dies bleibt zwar unverändert, jedoch stellt das BSI insbesondere unter den Verbraucherinnen und Verbrauchen eine rückläufige Anwendung fest. Das betraf insbesondere die Verwendung und das Management von sicheren Passwörtern. Um dem Trend zur Verwendung unsicherer Passwörter entgegenzuwirken, bieten sich Passkeys an. Insbesondere mit Blick auf die oben genannten zunehmenden Exploits und Datenleaks kommt es künftig vermehrt auf präventive Maßnahmen und ein entsprechendes Angriffsflächenmanagement an. Ziel muss es sein, sich durch möglichst gut geschützte Angriffsflächen unattraktiv für Cyberkriminelle zu machen. Weitere Übersichten hält das BSI hier bereit.

Fazit

Wie schon in den vergangenen Jahren stagniert die Lage zur IT-Sicherheit auf einem besorgniserregenden und angespannten hohen Niveau. Ein wesentlicher Faktor dafür sind weiterhin die unzureichend geschützten Angriffsflächen. Dies muss ein Weckruf für alle Organisationen sein, sich künftig – unabhängig von bestehenden oder kommenden Digitalregulierungen – intensiver mit dem Management von Informationssicherheit und im speziellen IT-Sicherheit zu befassen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Aktuell mehren sich Berichte (ein Beispiel) über Sicherheitsvorfälle bzw. Datenlecks, bei denen Nutzerdaten und insbesondere E-Mail-Adressen durch Angreifer entwendet werden. Verschaffen sich Unbefugte Zugang zu den Accounts drohen in der Regel noch größere Schäden. Es können nicht nur in den Accounts hinterlegte Informationen wie E-Mail-Kommunikation, Bank- und Zahlungsinformationen, Anmeldedaten usw. ausgelesen werden. Es ist bei dem Eindringen auf einen E-Mail-Account zudem möglich, diesen für das Versenden von Spam-Nachrichten zu verwenden. In eine ähnliche Kerbe schlägt der Cybersicherheitsmonitor.

Passend zu diesem Thema vermeldet die Sächsische Datenschutz- und Transparenzbeauftragte in einer aktuellen Pressemitteilung den Anstieg der gemeldet Datenschutzverletzungen.  Hierin führt die Aufsichtsbehörde aus, dass zu den häufigsten Meldungen von Datenschutzverletzungen Fehlversendungen, offene E-Mail-Verteiler und das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl gehören, jedoch in etwa jedem zehnten Fall personenbezogene Daten durch Cyberkriminalität abgegriffen wurden: „Hinter den Zahlen stehen zumeist menschliches Versagen, organisatorische Mängel oder technische Schwachstellen.“ Mit einem Blick in den aktuellen Tätigkeitsbericht wird zudem klar, dass Meldungen im Zusammenhang mit Cyberkriminalität eine zentrale Kategorie von Datenschutzverletzungen bleiben. Typische Beispiele für Cyberkriminalität sind Spam- und Phishing-Mails, die Verschlüsselung von Systemen durch Ransomware, der Einsatz von Schadsoftware (Malware) sowie das Ausnutzen von Sicherheitslücken.

Sonderfall kompromittiertes E-Mail-Konto

Eine weitere Gruppe von Datenschutzverletzungen, welche in den weiten Bereich der Cyberkriminalität zuzuordnen ist, stellen die sogenannten kompromittierten E-Mail-Konten dar. Die Sächsische Aufsichtsbehörde stellt hierzu fest, dass derartige Verletzungen signifikant zugenommen haben: „Bei derartigen Vorfällen gelangen unbefugte Dritte durch Hacking, Phishing oder unsichere Passwörter in den Besitz vonZugangsdaten und nutzen das Konto, um personenbezogene Daten auszuspähen, betrügerische Nachrichten zu versenden oder weiteren Schaden anzurichten […] Kompromittierte E-Mail-Konten stellen eine ernst zu nehmende Bedrohung dar, da sie den Zugang zu sensiblen Informationen ermöglichen.“

Jüngst hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite zu dieser Thematik eine Checkliste für den Ernstfall des gehackten Accounts veröffentlicht. Das BSI gibt in dieser Checkliste Hinweise wie kompromittierte Konten erkannt werden können und welche Möglichkeiten Betroffenen im Ernstfall zur Verfügung stehen.

Erkennen eines kompromittierten Accounts

Die größte Auffälligkeit besteht selbstredend darin, dass Nutzerinnen und Nutzer nicht mehr auf Ihre Accounts zugreifen können, da in der Regel die Passwörter geändert wurden. Es ist aber auch denkbar, dass die Anbieter, zum Beispiel die E-Mail-Provider wie GMX oder web.de Auffälligkeiten erkennen und deshalb die Accounts vorsorglich sperren. Unabhängig davon können und sollten die Nutzenden auf entsprechende Nachrichten achten, welche Sie nicht versendet haben oder Inhalte mit Käufen und vor allem neuen Gerätanmeldungen enthalten.

Ergänzend fügt die Sächsische Datenschutzbeauftragte in Ihrem Tätigkeitsbericht noch an: Ungewöhnliche Aktivitäten in Form von E-Mails im Gesendet-Ordner, die nicht vom Kontoinhaber verschickt wurden, sowie fehlende oder gelöschte Nachrichten (die Angreifer löschen Nachrichten, um Spuren zu verwischen sowie abgewiesene Login-Versuche, denn der Zugriff auf das Konto ist gesperrt, weil der Angreifer die Zugangsdaten geändert hat).

Was ist im Ernstfall zu tun?

Das BSI und auch die Sächsische Datenschutzbeauftrage geben auch hier Möglichkeiten an die Hand. Sollte der Zugriff auf die Accounts verwehrt werden sollte schnellstmöglich der Anbieter kontaktiert und Kontakte (z. B. vor dem Versenden von Phishing-Nachrichten) gewarnt werden.

Sofern der Zugriff auf den Account noch möglich ist, empfiehlt das BSI folgende Maßnahmen:

• Sperrung des kompromittierten Kontos: Sobald ein Vorfall bekannt wird, sollte der Zugang zum betroffenen Konto unverzüglich gesperrt werden sowie Beenden aller aktiven Sitzungen;
• Passwortzurücksetzung: Das Passwort des Kontos muss umgehend geändert und dabei auf die Verwendung eines einzigartigen, starken Passworts geachtet werden;
• Account-Einstellungen kontrollieren (z. B. Kontrolle unbefugt eingerichteter automatischer Weiterleitungen);
• Kontakte informieren (Achtsamkeit bei Spam- und/oder Phishing-Nachrichten).

Mehr Sicherheit in der Zukunft

Auch an dieser Stelle geben das BSI und die Sächsische Aufsichtsbehörde zum Teil nützliche Tipps für mehr Sicherheit für die Accounts in der Zukunft:

• Sicherheitsrichtlinien: Etablieren Sie klare Richtlinien für den Umgang mit E-Mail-Konten, zum Beispiel den Verzicht auf die Verwendung privater Geräte für berufliche E-Mails.
• Passkeys nutzen: Mit der Alternative zu Passwörtern müssen Sie sich nicht mehr viele verschiedene Passwörter merken;
• Zwei-Faktor-Authentisierung aktivieren: Wenn Sie weiterhin Passwörter nutzen, schützt ein zweiter Faktor Ihren Account zusätzlich, sollte das Passwort in fremde Hände gelangen;
• Phishing-Mails erkennen: Seien Sie wachsam, wenn Sie in einer E-Mail etwa dazu aufgefordert werden, sich per Link in Ihren Account einzuloggen, und Ihnen dringender Handlungsbedarf suggeriert wird;
• Bildschirmsperre einrichten: Sollte beispielsweise Ihr Smartphone geklaut werden, verhindern Sie so, dass Fremde darauf zugreifen können und etwa über eine ungeschützte App Zugriff zu einem Account erlangen;
• Sparsam mit Daten umgehen: Geben Sie online möglichst wenig über sich preis;
• Vorsicht bei Links und Anhängen: Hinter E-Mail-Anhängen oder Links auf Webseiten kann sich Schadsoftware verbergen;
• Updates installieren: Damit schließen Hersteller oft Sicherheitslücken, sodass Kriminelle diese nicht ausnutzen können;
• Virenscanner und Firewall nutzen: Auf vielen Geräten sind diese bereits vorinstalliert. In manchen Fällen müssen sie in den Einstellungen jedoch noch aktiviert werden;
• Öffentliches WLAN meiden: Mitunter werden dort zum Beispiel Daten unverschlüsselt übertragen;
• Schulungen: Sensibilisieren Sie Beschäftigte und andere Nutzende für die Risiken und Erkennungsmerkmale von Cyberangriffen¸
• Incident Response Plan: Dokumentieren Sie Vorfälle und optimieren Sie Ihre Notfallpläne basierend auf den Erkenntnissen, um in Zukunft schneller reagieren zu können.

Alle genannten Maßnahmen sind jedenfalls auch mit Blick auf die rechtlichen Verpflichtungen zur Informationssicherheit ratsam, vgl. z. B. Art. 32 DS-GVO, Art. 21 NIS-2-RL oder § 4 Sächsisches Informationssicherheitsgesetz.

Fazit

Vorfälle von kompromittierten E-Mail-Konten können eine ernstzunehmende Bedrohung darstellen, denn Angreifer erhalten mitunter Zugriff auf sensible Informationen. Darüber hinaus können die betroffenen Accounts für weitere Phishing-Kampagnen missbraucht werden. Verantwortliche sind stets gut beraten, sich mit entsprechenden technischen und organisatorischen Maßnahmen bestmöglich abzusichern. Das BSI gibt über die Checkliste hinaus auch noch Informationen zur Prävention und für den Notfall.

Nicht zu vernachlässigen ist zudem, dass es sich bei Fällen der kompromittierten E-Mail-Konten im Regelfall um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DS-GVO handelt, welche eine Meldepflicht nach Art. 33 Abs. 1 DS-GVO nach sich zieht. Ebenso können weitere Meldepflichten nach dem IT-Sicherheitsrecht einschlägig sein.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Einen Tag nach dem von uns bereits besprochenen Urteil des Gerichtes der Europäischen Union (EuG) in der Rechtssache T-553/23 und der (vorläufigen) Entscheidung über den Fortbestand des Data Privacy Framework, ist auch beim Europäischen Gerichtshof (EuGH) eine für das Datenschutzrecht bedeutende Entscheidung gefallen. Mit der Entscheidung in der Rechtssache C-413/23 P hat sich der EuGH mit dem Begriff der personenbezogenen Daten befasst. Inhalt und Bedeutung des Urteils wollen wir im heutigen Beitrag näher beleuchten.

Der EuGH und der Personenbezug

First at all ist das aktuelle Urteil des EuGH nicht die erste Entscheidung in der jüngeren Datenschutzvergangenheit, welche sich mit dem Vorliegen und den Voraussetzungen des Personenbezuges auseinandersetzt.

Der EuGH selbst hat sich in seinem Urteil vom 9. November 2023 (Rs. C-319/22) mit dem Begriff der personenbezogenen Daten beschäftigt. Konkret klärt der EuGH anhand der sogenannten Fahrzeug-Identifizierungsnummer (FIN) die Personenbeziehbarkeit einer Information. In zwei weiteren Entscheidungen vom 7. März 2024 befasst sich der EuGH wiederrum mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten einzuordnen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen bzw. Mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P).

In diesen Entscheidungskanon reiht sich auch das Urteil des EuG vom 26. April 2023 (Rs. T-557/20), in welchem sich das Gericht zudem mit den Begriffen der pseudonymen und anonymen Daten auseinandersetzt, ein. Das Urteil haben wir zwar bereits im Rahmen eines separaten Beitrages näher beleuchtet, zum besseren Verständnis der aktuellen Entscheidung – welcher das Verfahren beim EuG vorausgegangen ist – fassen wir noch einmal kurz zusammen:

Gegenstand des Verfahrens sind Fragen rund um ein Abwicklungsverfahren einer spanischen Bank. Im Rahmen dieses Abwicklungsverfahrens koordinierte der Einheitliche Abwicklungsausschuss, der Single Resolution Board (SRB), entsprechende Stellungnahmen mittels eines Online-Fragebogens von Gläubigern und Schuldnern im Rahmen eines Konsultationsverfahrens. Den eingegangenen Stellungnahmen erfolgte jeweils die Zuordnung eines alphanumerischen Codes, der aus einer 33-stelligen eindeutigen Identifikationsnummer bestand. Die mit dem Code versehenen Stellungnahmen wurden durch den SRB an externe Empfänger weitergegeben. Die Empfänger haben und hatten laut Angaben des SRB nie einen Zugriff auf die zur Identifizierung der betroffenen Personen erforderlichen Informationen.

In Bezug auf dieses Verfahren wandten sich betroffene Personen mit einer Beschwerde an den Europäischen Datenschutzbeauftragten (EDSB), dass diese Weitergabe aus den datenschutzrechtlichen Informationen des SRB nicht ersichtlich gewesen sei. Nach Ansicht des EuGH sei darauf abzustellen, ob den Empfängern anhand der übermittelten Informationen überhaupt eine Identifizierung der betroffenen Personen möglich gewesen wäre. Darüber wird keine absolute Anonymität von Daten derart gefordert, dass eine Identifizierung der betroffenen Personen für jedermann ausgeschlossen sein muss. Für die Beurteilung ist insoweit auf die Sicht des Datenempfängers abzustellen.

Die Möglichkeiten der Re-Identifizierung sind entscheidend

Zunächst setzt sich der EuGH mit dem Personenbezug der Stellungnahmen auseinander, welche auch persönliche Meinungen enthielten:

„Der Gerichtshof hat entschieden, dass in der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten […] das Ziel des Unionsgesetzgebers zum Ausdruck kommt, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt […] Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist.“

Mithin kann es sich also auch bei den Stellungnahmen wie im streitgegenständlichen Fall um personenbezogene Daten handeln. So weit so gut. Für die Weitergabe dieser Daten ist mit dem EuGH nunmehr entscheidend, ob der Datenempfänger einen Rückschluss auf die betroffene Person ziehen kann und ob eine Re-Identifizierung möglich ist: „In diesem Zusammenhang ist darauf hinzuweisen, dass sich eine Information […] auf eine „identifizierte oder identifizierbare“ natürliche Person beziehen muss, um unter den Begriff der personenbezogenen Daten im Sinne dieser Bestimmung zu fallen. Die Anwendung […] setzt grundsätzlich also eine Prüfung voraus, ob die von der in Rede stehenden Information betroffene Person identifiziert oder identifizierbar ist.“

Diesbezüglich verweist der EuGH ebenfalls auf die pseudonymisierten Daten. Durch einen Blick in Art. 4 Nr. 5 DS-GVO erhalten wir sogleich eine Definition, was unter einer Pseudonymisierung zu verstehen ist: „„Pseudonymisierung“  [meint] die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Nach dem EuGH gilt zudem zu berücksichtigen: „der Begriff „Pseudonymisierung“ [setzt] das Vorliegen von Informationen [voraus], die eine Identifizierung der betroffenen Person ermöglichen […]. Sofern solche technischen und organisatorischen Maßnahmen nämlich tatsächlich ergriffen werden und geeignet sind, eine Zuordnung der in Rede stehenden Daten zu der betroffenen Person zu verhindern, so dass diese nicht oder nicht mehr identifizierbar ist, kann sich die Pseudonymisierung auf die Personenbezogenheit dieser Daten […] auswirken.“

Und weiter: „Außerdem hat der Gerichtshof bereits entschieden, dass ein Mittel nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde.“

Zudem „[…] wirkt sich dieser Umstand insbesondere im Zusammenhang mit einer etwaigen späteren Übermittlung an Dritte nämlich nicht auf die Beurteilung der Personenbezogenheit dieser Daten aus. Sofern nämlich nicht ausgeschlossen werden kann, dass diese Dritten nach allgemeinem Ermessen in der Lage sind, die pseudonymisierten Daten anhand von Mitteln wie etwa einem Abgleich mit anderen ihnen zur Verfügung stehenden Daten der betroffenen Person zuzuordnen, ist diese Person sowohl in Bezug auf die Übermittlung der Daten als auch in Bezug auf die spätere Verarbeitung dieser Daten durch Dritte als identifizierbar anzusehen. Unter solchen Umständen müssten pseudonymisierte Daten als personenbezogene Daten betrachtet werden.“

Im Ergebnis handelt es sich demnach um personenbezogene Daten, solange besagte Re-Identifizierung technisch und/oder organisatorisch möglich ist: „[…] die Pseudonymisierung kann – je nach den Umständen des Einzelfalls – andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für sie nicht oder nicht mehr identifizierbar ist.“

Fazit

Der EuGH bestätigt damit den sogenannten subjektiven Ansatz zur Bestimmung des Personenbezugs beziehungsweise den sogenannten relativen Personenbezug und auch die Breyer-Rechtsprechung. Es kommt bei einer Datenübermittlung mithin entscheidend auf die Mittel an, welche potenziellen Empfängern zur Verfügung stehen, um bestimmten zu können, ob es sich um personenbezogene Daten handelt. Hierdurch entsteht durch das Urteil in der Praxis unter Umständen neue Bedeutung rund um die Verschlüsselung.

Überlegenswert erscheint zudem die Überlegung zu hinterfragen, wie hoch das „Risiko“ einer Identifizierung ist, wenn diese gesetzlich verboten ist, z. B. in Fällen von Cyber-Angriffen und damit in Zusammenhang stehenden Datenexfiltrationen.Für die Praxis weiterhin relevant sein dürfte die Auseinandersetzung über die Informationspflichten im Zusammenhang mit potenziellen Pseudonymisierung sein (vgl. Rn. 111-113). Zur Vertiefung der Thematik empfehle ich schließlich die Lektüre dieses Blog-Beitrages von den Kollegen von Piltz Legal.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Unser heutiger Beitrag soll ein recht aktuelles Urteil des Bundesarbeitsgericht (BAG) vom 8. Mai 2025 (8 AZR 209/21) näher beleuchten. Dieses Urteil des BAG hat bereits in den vergangenen Wochen die datenschutzrechtliche Welt beschäftigt. Hierbei standen laut Pressemitteilung des BAG insbesondere Fragen rund um Datenverarbeitungen nach § 26 Abs. 4 Bundesdatenschutzgesetz (BDSG) im Zusammenhang mit Betriebsvereinbarungen und den Schadenersatz eines Beschäftigten nach Art. 82 DS-GVO aufgrund unzulässiger Datenübermittlungen innerhalb einer Konzerngruppe im Blickpunkt. Ein guter Bericht findet sich hier. Nunmehr wurde auch der Volltext des Urteils veröffentlicht.

Ein Blick in die Urteilsbegründung lohnt sich eben doch!

Viel spannender für die datenschutzrechtliche Praxis sind die Ausführungen des BAG ab Randziffer 16. Hier heißt es zunächst: „Die Verarbeitung dieser vorgenannten personenbezogenen Daten zu Testzwecken in Workday ist nicht nach Art. 88 Abs. 1 DSGVO iVm. § 26 Abs. 1 BDSG zulässig. § 26 Abs. 1 BDSG hat unangewendet zu bleiben.“ Noch einmal zum auf der Zunge zergehen lassen: „§ 26 Abs. 1 BDSG hat unangewendet zu bleiben.“

Zur Verdeutlichung, § 26 Abs. 1 Satz 1 BDSG umfasst als Grundtatbestand mehrere Regelungstatbestände: „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist […].“ Auf Satz 2 verzichten wir an dieser Stelle, dieser enthält Vorgaben zur Datenverarbeitung zur Aufdeckung von Straftaten.

Und wie geht es nun weiter?

Wir erinnern uns zurück: Der Europäische Gerichtshof (EuGH) hat sich in seiner Entscheidung vom 30. März 2023 (Rs. C-34/21) mit der Vereinbarkeit des § 23 Abs. 1 Satz 1 Hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG) und der Datenschutz-Grundverordnung, insbesondere natürlich Art. 88 Abs. 1 DS-GVO, befasst und diese verneint (wir berichteten). Seitdem ist in der Literatur umstritten, ob dieses Urteil Ausstrahlungswirkung auf den wortgleichen § 26 Abs. 1 BDSG hat.

Nunmehr hat sich das BAG in seinem Urteil offenkundig mit der Rechtslage befasst. Es führt hierzu weiter aus: „§ 26 Abs. 1 BDSG erfüllt nicht die Voraussetzungen der Öffnungsklausel des Art. 88 DSGVO. Spezifischere Vorschriften iSv. Art. 88 Abs. 1 DSGVO sind nur gegeben, wenn sie sich nicht auf eine Wiederholung der Bestimmungen der Datenschutz-Grundverordnung beschränken, sondern einen zum normierten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der Datenschutz-Grundverordnung unterscheidet.“

Und weiter: „Zudem müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person iSv. Art. 88 Abs. 2 DSGVO umfassen […] Diese Anforderungen erfüllt § 26 Abs. 1 Satz 1 BDSG schon deshalb nicht, weil es an Schutzmaßnahmen iSv. Art. 88 Abs. 2 DSGVO fehlt.“

Das BAG spricht klar von einer Unanwendbarkeit des § 26 Abs. 1 BDSG, kommt aber bei den vertieften Ausführungen zu der Darstellung, dass „lediglich“ § 26 Abs. 1 Satz 1 BDSG die Anforderungen des Art. 88 Abs. 1 DS-GVO nicht erfüllt. Letzteres könnte in der Anwendung konsequent sein, da auch die vom EuGH zitierte Entscheidung beispielsweise nicht die Regelungen zur Aufdeckung von Straften adressiert.  

Das BAG führt zudem weiter aus, dass nationale Vorschriften, zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext, die nicht die Voraussetzungen und Grenzen des Art. 88 Abs. 1 und 2 DS-GVO beachten, unangewendet bleiben müssen, es sei denn die Rechtsvorschriften stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DS-GVO dar. Dies war in dem zugrundeliegenden Sachverhalt nicht gegeben.

Fazit

War nach dem Urteil des EuGH zum HDSIG noch umstritten, ob es eine Ausstrahlungswirkung des Urteils auf § 26 Abs. 1 Satz 1 BDSG gibt, verdichten sich nun mit dem Urteil des BAG die Anzeichen, dass Verantwortliche bei der Bewertung von Fragen rund um Datenverarbeitungen im Beschäftigungskontext auf Art. 6 Abs. 1 UAbs. lit. b) oder f) DS-GVO zurückgreifen müssen. Eventuell wird künftig sogar noch einmal der Plan nach einem Beschäftigtendatenschutzgesetz aus der Schublade geholt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Vermutlich löst kaum eine andere Norm der Datenschutz-Grundverordnung bei der praktischen Umsetzung vergleichbar Unbehagen bei den verantwortlichen Stellen aus wie der Auskunftsanspruch nach Art. 15 DS-GVO. Man stelle sich nur vor, welche Gedanken den intern Verantwortlichen durch den Kopf gehen, wenn plötzlich ein – vielleicht sogar anwaltliches –Schreiben eingeht, in welchem vollständige Auskunft über die personenbezogenen Daten der betroffenen Person verlangt wird. Mit den möglichen Anforderungen an die Auskunftserteilung haben wir uns erst neulich bei einem Spaziergang durch die DS-GVO befasst.  Im heutigen Beitrag wollen wir den Blick ein stückweit auf die Rechtsfolgenseite richten und uns mit der Frag beschäftigten, was passiert, wenn die Auskunft zu spät erteilt wird.

… unverzüglich, in jedem Fall aber innerhalb eines Monats…

Grundsätzlich gilt auch für die Auskunftserteilung die Frist des Art. 12 Abs. 3 Satz 1 DS-GVO: „Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.“ Man könnte nun durchaus darüber diskutieren, ob mit „ergriffene Maßnahme“ im Falle von Art. 15 DS-GVO die vollständige Auskunftserteilung gemeint ist, aber dies wollen wir heute nicht betrachten, da es für unseren Fall auch nicht wirklich entscheidend ist (wir haben bereits über die Thematik berichtet).

Es bleibt also bei der in Datenschutzkreisen wohl bekannten Frist „unverzüglich, in jedem Fall aber innerhalb eines Monats„. Der „wunderbare“ unbestimmte Rechtsbegriff unverzüglich kann dabei wohl nach herrschender Meinung vergleichbar zu § 121 Bürgerliches Gesetzbuch also „ohne schuldhaftes Zögern“ verstanden werden. Hervorzuheben ist, dass „innerhalb eines Monats“ als Höchst- und nicht als Regelfrist zu verstehen ist. Nach Art. 12 Abs. 3 Satz 2 DS-GVO kann die Frist „[…] um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.“

Die Frage die sich nunmehr aufdrängt ist, wie weiter zu verfahren ist, wenn die erforderliche Auskunft nicht innerhalb der gesetzlichen Frist erfüllt wird und ob der jeweils betroffenen Person ein Schadenersatzanspruch gemäß Art. 82 DS-GVO zusteht.

Schadenersatz als Kontrollverlust?

Mit der geschildeten Situation hat sich jüngst das Bundesarbeitsgericht (BAG) in seinem Urteil vom 20. Februar 2025 (Az.: 8 AZR 61/24) auseinandergesetzt. In einer arbeitsrechtlichen Auseinandersetzung forderte der Kläger und ehemaliger Beschäftigter der Beklagten im Oktober 2022 Auskunft, nachdem er bereits 2020 Auskunft über die Ihn betreffenden personenbezogenen Daten erhalten hatte. Die Auskunft wurde ihm letztendlich nach mehreren fruchtlosen Fristsetzungen im Dezember 2022 erteilt. Nach Ansicht des Klägers allerdings unvollständig. Deshalb verlangte der Kläger Schadenersatz nach Art. 82 DS-GVO. In der Vorinstanz wurde ihm vom Arbeitsgericht Duisburg zunächst ein Anspruch in Höhe von 10.000€ zugesprochen (wir berichteten), bevor das Landesarbeitsgericht Düsseldorf das Urteil wiederrum aufhob und die Revision zum BAG zuließ.

Das BAG urteilte nun, dass allein eine verspätete Auskunft noch keinen Schadenersatzanspruch nach Art. 82 DS-GVO begründet. Vielmehr sei die Darlegung eines entsprechenden Schadens seitens des Klägers – dieser behauptete hier schlicht einen Kontrollverlust – erforderlich: „Die vom Kläger im vorliegenden Rechtsstreit geschilderte Gefühlslage begründet demnach keinen Schaden im Zusammenhang mit einem Kontrollverlust. Der Kläger hat – wovon das Landesarbeitsgericht zu Recht ausgegangen ist – keine konkreten Befürchtungen einer missbräuchlichen Verwendung seiner Daten dargelegt.“

Fast schon schulbuchartig prüft das BAG die durch den Europäischen Gerichtshof (EuGH) in verschiedenen Urteilen (wir berichteten hier, hier, hier und hier) statuierte Anwendung des Art. 82 DS-GVO. Zunächst stellt das BAG heraus, dass der Anspruch nach Art. 82 DS-GVO das Vorliegen eines Schadens, eines Verstoßes sowie eines Kausalzusammenhangs zwischen Schaden und Verstoß erfordert.

Hierfür wird herausgestellt: „Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist.“ Und weiter: „Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat […].“

Vorliegend aber konnte ein solcher Kontrollverlust durch den Kläger gerade nicht dargelegt werden: „Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen […]. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen […].“

Das BAG kommt daher zum Ergebnis: „Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus […] Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft.“

Oder doch aufgrund negativer Gefühle?

Anschließend befasst sich das BAG noch mit der Frage, ob der Schaden in Form von negativen Gefühlen wegen der verspäteten Erfüllung des Auskunftsanspruchs vorliegt und lehnt auch dies zu recht ab: „Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen […]. Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus […]. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos […].“

Ergänzt sei noch, dass das BAG hingegen die Frage offengelassen hat, ob eine potenzielle Verletzung von Art. 15 DS-GVO in Verbindung mit Art. 12 Abs. 3 DS-GVO überhaupt einen Verstoß im Sinne des Art. 82 Abs. 1 DS-GVO darstellen kann.

Fazit

Das BAG entschied in seinem Urteil, dass eine verspätete Auskunft allein keinen Schadenersatzanspruch begründet. Dies bedeutet für Betroffene jedoch nicht, dass mögliche Ansprüche nach Art. 82 DS-GVO in Gänze ausgeschlossen wären. In der Praxis wird entscheidend sein, das der gelten gemachte Schaden zum Beispiel in Form eines Kontrollverlustes zumindest nachvollziehbar dargelegt und eine missbräuchliche Verwendung bewiesen wird. Das bloße Abstellen auf die verspätete Auskunftserteilung ist hingegen nicht ausreichend.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.