Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nicht gelesen haben. Die heutige Etappe durch den Artikel 27 ist eher unspektakulär und hauptsächlich wichtig als Verbindungsweg zum Artikel 28 – der es in sich hat.

Worum Geht´s?

Die DS-GVO verpflichtet nach Artikel 3 Abs. 2 viele Verantwortliche und Auftragsverarbeiter außerhalb der EU – wenn sie personenbezogene Daten Betroffener verarbeiten,

• um ihr Verhalten in der EU zu beobachten oder
• um ihnen Waren/Dienstleistungen in der EU anzubieten.

Immer wenn Staaten – oder Staatenbünde wie die EU – über ihr eigenes Hoheitsgebiet hinausregieren wollen, haben sie dasselbe Problem: Wie setzt man sich im Ausland durch? (Man kann natürlich auch Regeln aufstellen ohne die Chance einer effektiven Umsetzung. Aber meist sieht das nicht gut aus.)

Artikel 27 klärt nur einen ganz kleinen Teil dieses Problems: Verantwortliche mit Sitz außerhalb der EU müssen Vertreter in der EU benennen und zwar als Ansprechpartner „insbesondere für die Aufsichtsbehörden und betroffene Personen“. Das „insbesondere“ heißt im üblichen juristischen Sprachgebrauch: Dies sind nur (besonders wichtige) Beispiele. Also dürfen auch Andere die Vertreter in DS-GVO-Fragen kontaktieren.

Die Benennung muss schriftlich erfolgen (Abs. 1), aber nicht gegenüber der Aufsichtsbehörde und auch nicht gegenüber den Betroffenen. Die Betroffenen erfahren vom Vertreter und seinen Kontaktdaten durch die Information nach Art. 13 (bzw. 14) Abs.1 lit. a. Die Aufsichtsbehörde liest entweder auch die Datenschutz-Information oder das Verarbeitungs-Verzeichnis; dort wird der Vertreter mit Kontaktdaten auch genannt (Art. 30 Abs. 1 Satz 2 lit. a). Beim Auftragsverarbeiter steckt die Nachricht ebenfalls im VVT (Art. 30 Abs. 2 lit. a).

Der Vertreter kann „zusätzlich … oder an … Stelle“ seiner Auftraggeber (Verantwortlicher/Auftragsverarbeiter) als Anlaufstelle für Datenschutzfragen dienen. Er kann auch die VVTs erstellen und muss sie der Aufsichtsbehörde auf Anforderung bereitstellen (siehe Art. 30 Abs. 1, 2 und 4). Außerdem muss er mit der Aufsichtsbehörde allgemein zusammenarbeiten (Art. 31).

Der Vertreter kann nicht in „irgendeinem“ EU-Staat ansässig sein, sondern nur in einem derjenigen Staaten, in denen sein Auftraggeber aktiv ist (also Betroffene beobachtet und/oder ihnen Waren/Dienstleistungen anbietet).

Was erreicht der Gesetzgeber? Vor allem kürzere Wege für die Aufsichtsbehörden und die Betroffenen. Allerdings: Wenn sich der Verantwortliche/Auftragsverarbeiter – auch – an diese DS-GVO-Vorschrift nicht hält, bleibt doch nur der lange, schwierigere Weg ins Ausland.

Was droht dem Vertreter? Erwägungsgrund 80 meint in Satz 6, bei Verstößen seiner Auftraggeber solle „der bestellte Vertreter Durchsetzungsverfahren unterzogen werden“. Im Normtext der DS-GVO findet sich dazu aber nichts. Artikel 82 gibt Schadenersatzansprüche nur gegen Verantwortliche und Auftragsverarbeiter. Ein Versehen des Gesetzgebers? Vielleicht.

Nach Artikel 58 Abs. 1 lit. a kann die Aufsichtsbehörde den Vertreter anweisen, Informationen bereitzustellen. Aber droht bei Verstößen Bußgeld? Artikel 83 erwähnt zwar in Abs. 5 lit. e die Pflichten zur Info-Bereitstellung, aber nicht den Vertreter. Und derselbe Artikel befasst sich in Abs. 4 lit. a zwar (u. a.) mit Verstößen gegen Artikel 30 und 31 (da sind ja auch Pflichten des Vertreters geregelt, siehe oben), meint aber ausdrücklich nur Fehlverhalten des Verantwortlichen und des Auftragsverarbeiters. Ein Versehen des Gesetzgebers? Höchstwahrscheinlich.

Fazit

Artikel 27 versucht im Rahmen des Möglichen, für die schwer greifbaren DSGVO-Akteure („weit weg“) einen leichter greifbaren Ansprechpartner („nah dran“) aufzubauen. Aber in der Umsetzung (Sanktionen gegen den greifbaren Ansprechpartner) hat der Gesetzgeber gepatzt. Schön wäre: Reparieren.

Etappenziel erreicht – gute Erholung vor dem nächsten Abschnitt!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Es ist eine Entscheidung, von welcher man mit Fug und recht behaupten kann, dass die Datenschutzwelt auf sie gewartet hat: Es ist die Brillen Rottler Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache C-526/24. Das wird zunächst vermutlich nur Wenigen etwas sagen. Im Kern dreht sich die Entscheidung um die für die Praxis bedeutende Frage nach dem Missbrauchseinwand des Art. 12 Abs. 5 DS-GVO bei der Geltendmachung von Auskunftsansprüchen nach Art. 15 DS-GVO. Zur praktischen Umsetzung von Art. 15 DS-GVO praktischer Umsetzung haben wir bereits berichtet. Heute wollen wir nun das aktuelle Urteil zum Missbrauchseinwand näher beleuchten.

Ein Blick ins Gesetz und so…

Blicken wir doch zunächst einmal ins Gesetz. Art. 12 Abs. 5 DS-GVO lautet:

„Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

1. ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
2. sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.“

Das Gesetz zeigt uns eine Reihe unbestimmter Rechtsbegriffe: „offenkundig unbegründet“, „exzessiv“ oder aber „häufige Wiederholungen“. Kurzum: Verantwortliche haben zwar grundsätzlich die Möglichkeit einem Antrag Betroffener Personen entgegenzutreten, bisher waren die Konturen für diesen Einwand jedoch weitestgehend ungeklärt. Bisher…

Nun zu dem Eugh-Urteil

Worum geht es eigentlich. Aus dem Sachverhalt:

Im März 2023 abonnierte eine in Österreich wohnhafte natürliche Person, den Newsletter von Brillen Rottler, einem familiengeführten Optikerunternehmen mit Sitz in Arnsberg (Deutschland). Dabei gab er seine personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein und willigte in die Verarbeitung dieser Daten ein. 13 Tage später richtete die betroffene Person einen Auskunftsantrag nach Art. 15 DS-GVO an Brillen Rottler. Diese wiesen den Auskunftsantrag innerhalb der gesetzlichen Frist von einem Monat zurück, da sie ihn für missbräuchlich i.S.v. Art. 12 Abs. 5 UAbs. 1 Satz 2 DS-GVO hielten. Der „Betroffene verfolgte“ seinen Auskunftsantrag weiter und machte darüber hinaus Schadenersatz in Höhe von 1.000€ nach Art. 82 DS-GVO geltend.

In der Folge klagte Brillen Rottler dann vor dem AG Arnsberg auf Feststellung, dass dem „Betroffenen“ kein Anspruch aus Art. 82 DS-GVO zustehe. Gestützt wurde der Feststellungantrag darauf, dass aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten hervorgehe, dass der „Betroffene“ Anträge auf Auskunft über seine personenbezogenen Daten systematisch und rechtsmissbräuchlich allein zu dem Zweck stelle, eine Entschädigung für eine von ihm bewusst provozierte angebliche Verletzung seiner Rechte aus der Datenschutz-Grundverordnung zu erzwingen. Er gehe nach dem Muster vor, sich zunächst zu einem Newsletter anzumelden, dann Auskunft zu beantragen und schließlich Schadensersatz zu fordern.

Das AG Arnsberg wandte sich in der Folge mit diversen Vorlagefragen an den EuGH.

Was hat denn der Eugh nun entschieden?

Zunächst stellt der EuGH klar: „Was […] die Frage betrifft, ob ein erster Auskunftsantrag der betroffenen Person an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ angesehen werden kann, ist darauf hinzuweisen, dass, da der Begriff „exzessive Anträge“ in der DSGVO nicht definiert wird, bei seiner Auslegung nach ständiger Rechtsprechung sowohl der Wortlaut von Art. 12 Abs. 5 DSGVO entsprechend seinem üblichen Sinn im gewöhnlichen Sprachgebrauch als auch der Zusammenhang dieser Bestimmung und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden.“

Und weiter: „Insoweit bezeichnet, was den Wortlaut von Art. 12 Abs. 5 DSGVO und insbesondere den üblichen Sinn des Begriffs „exzessive Anträge“ im gewöhnlichen Sprachgebrauch anbelangt, das Adjektiv „exzessiv“ etwas, das über das gewöhnliche oder vernünftige Maß hinausgeht oder das erwünschte oder zulässige Maß überschreitet […] Allein anhand der Verwendung dieses Adjektivs, das sich sowohl auf qualitative als auch auf quantitative Merkmale bezieht, kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag exzessiv sein mag.“

Bemerkenswert ist zudem folgender Hinweis: „Zudem ergibt sich zwar aus Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO, dass Anträge „insbesondere im Fall von häufiger Wiederholung“ exzessiv sein können. Die Häufung von Anträgen einer Person kann daher ein Indiz dafür sein, dass sie exzessiv sind […] In Ansehung einer am Wortlaut orientierten Auslegung von Art. 12 Abs. 5 DSGVO kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag als „exzessiv“ im Sinne dieser Bestimmung angesehen werden kann.“

Damit aber nicht genug: „Somit ist die Zahl der Auskunftsanträge der betroffenen Person an den Verantwortlichen für sich allein nicht ausschlaggebend für dessen Recht, von der ihm durch Art. 12 Abs. 5 DSGVO eingeräumten Möglichkeit Gebrauch zu machen, auf den Antrag nicht tätig zu werden, so dass der Verantwortliche davon auch im Fall eines ersten Auskunftsantrags Gebrauch machen kann, wenn er in Ansehung aller relevanten Umstände des Einzelfalls dartut, dass eine Missbrauchsabsicht der betroffenen Person vorliegt. […] Da der Begriff „exzessive Anträge“, wie sich aus Rz. 29 des vorliegenden Urteils ergibt, eng auszulegen ist, kann sich jedoch ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen, und die Maßstäbe für die Einstufung eines ersten Auskunftsantrags als „exzessiv“ müssen (…) hoch sein.“

Der EuGH fordert für den Missbrauchseinwand zweit grundlegende Voraussetzungen:

Ein objektives sowie ein subjektives Element: „Was […] die Umstände betrifft, unter denen der erste Auskunftsantrag der betroffenen Person als „exzessiv“ i.S.v. Art. 12 Abs. 5 DSGVO eingestuft werden und somit einen Rechtsmissbrauch im Sinne der oben in den Rz. 23 und 30 angeführten Rechtsprechung begründen kann, so ist für den Nachweis einer missbräuchlichen Verhaltensweise zweierlei erforderlich, nämlich zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde, und zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden.“

Fazit

Diese letzte Klarstellung dürfte in vielen Praxiskonstellationen – wohl allen voran im Beschäftigtendatenschutz – eine gewichtige Weichenstellung sein. Es kann sich aus den Umständen des Einzelfalls ergeben, dass ein Missbrauch seitens des Betroffenen vorliegt. Insbesondere in bereits vorangetriebenen Streitigkeiten dürfte dies Relevanz entfalten, wenn zum Auskunftsanspruch gegriffen wird. Für die Einstufung möglicher objektiver Missbrauchskriterien verweist der EuGH zudem auf Erwägungsgrund 63 Satz 1 der DS-GVO in welchem die ursprünglichen Zwecke des Auskunftsanspruchs niedergelegt sind: „Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“

Klar ist allerdings auch, dass ein einfaches Berufen auf den Missbrauchseinwand seitens der Verantwortlichen nicht ausreichend sein wird. Vielmehr bedarf es der vertieften Darlegung der objektiven wie subjektiven Missbrauchskriterien.

Der Ball für die Entscheidung, ob im konkreten Fall ein Rechtsmissbrauch vorlag, liegt nun wieder beim AG Arnsberg, welches die Entscheidung unter Berücksichtigung des Urteils des EuGH treffen muss.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der Mittelstand gilt als Rückgrat der deutschen Wirtschaft – flexibel, leistungsfähig und innovationsgetrieben. Gleichzeitig zeigt die aktuelle Bedrohungslage immer deutlicher: Cyberangriffe sind längst kein Randphänomen mehr, sondern betreffen Unternehmen aller Größen und Branchen. Gerade mittelständische Organisationen geraten zunehmend in den Fokus professioneller Angreifer – nicht zuletzt, weil sie hochgradig vernetzt arbeiten, gleichzeitig jedoch oft mit begrenzten Ressourcen im Bereich Informationssicherheit operieren.

Aktueller Praxisfall

Ein aktueller Praxisfall verdeutlicht diese Entwicklung eindrücklich. Innerhalb weniger Stunden eskalierte ein zunächst punktuell erscheinender IT-Sicherheitsvorfall zu einem umfassenden Ransomware-Angriff. Erste technische Auffälligkeiten wurden am frühen Abend erkannt. Im weiteren Verlauf kam es zu einer aktiven Verschlüsselung zentraler Systeme, die sich innerhalb kurzer Zeit über wesentliche Teile der IT-Infrastruktur ausbreitete.

Die eingeleiteten Reaktionsmaßnahmen folgten bewährten Mustern des Notfallmanagements: Systeme wurden isoliert, Netzwerke getrennt und kontrolliert heruntergefahren, um eine weitere Ausbreitung zu verhindern. Parallel wurde ein interdisziplinärer Krisenstab eingerichtet und externe Expertise aus IT-Forensik, Incident Response, Datenrettung sowie rechtlicher Beratung hinzugezogen. Zeitgleich mussten organisatorische Notlösungen etabliert werden, um grundlegende Geschäftsprozesse – soweit möglich – aufrechtzuerhalten.

Und Plötzlich Zeit(-Druck)

Wie in vergleichbaren Szenarien zeigte sich auch hier, dass die operative Wiederherstellung komplexer IT-Landschaften Zeit erfordert. Insbesondere die Wiederherstellung geschäftskritischer Systeme, die Validierung von Datenbeständen sowie die parallele forensische Analyse führen zwangsläufig zu einem gestaffelten Wiederanlauf. Insgesamt ergab sich in dem betrachteten Fall eine erhebliche Beeinträchtigung über einen Zeitraum von rund 19 Tagen – verbunden mit einem weiterhin eingeschränkten Betrieb über diesen Zeitraum hinaus.

Dieser Verlauf ist kein Einzelfall, sondern entspricht in weiten Teilen dem typischen Muster moderner Cyberangriffe. Die zunehmende Professionalisierung von Angreifern, automatisierte Angriffswerkzeuge sowie die gezielte Ausnutzung komplexer IT-Strukturen führen dazu, dass selbst gut aufgestellte Organisationen vor erheblichen Herausforderungen stehen.

Informationssicherheit ist eine Querschnittsaufgabe

Vor diesem Hintergrund wird deutlich: Informationssicherheit ist kein isoliertes IT-Thema, sondern ein zentraler Bestandteil der unternehmerischen Resilienz. Im Kern geht es um die Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit von Informationen – und damit unmittelbar um die Aufrechterhaltung des Geschäftsbetriebs.

Gleichzeitig zeigt die Praxis, dass Informationssicherheit im Mittelstand häufig historisch gewachsen ist. Sicherheitsmaßnahmen werden sukzessive implementiert und an konkrete Anforderungen angepasst. Dieses Vorgehen ist nachvollziehbar, führt jedoch in komplexen IT-Umgebungen zunehmend an seine Grenzen. Die Dynamik aktueller Bedrohungslagen erfordert daher verstärkt strukturierte und ganzheitliche Ansätze.

Hier setzen etablierte Standards und Frameworks an, wie etwa die ISO/IEC 27001. Sie bieten einen systematischen Rahmen, um Informationssicherheit nicht nur technisch, sondern auch organisatorisch und prozessual zu verankern. Für mittelständische Unternehmen bedeutet dies vor allem: Transparenz über Risiken, klare Verantwortlichkeiten sowie definierte Abläufe für den Ernstfall. Dabei steht nicht die Zertifizierung im Vordergrund, sondern die nachhaltige Stärkung der eigenen Widerstandsfähigkeit.

Der geschilderte Vorfall unterstreicht insbesondere die Komplexität von Cyberereignissen. Aspekte wie Angriffserkennung, Eindämmung, Wiederherstellung und Kommunikation greifen ineinander und müssen unter hohem Zeitdruck koordiniert werden. Gleichzeitig zeigen solche Situationen, wie entscheidend vorbereitete Strukturen, abgestimmte Prozesse und sensibilisierte Mitarbeitende sind.

Für die Unternehmensleitung ergibt sich daraus ein klarer strategischer Auftrag. Informationssicherheit sollte als integraler Bestandteil der Unternehmensführung verstanden und entsprechend priorisiert werden. Ausgangspunkt bildet eine fundierte Betrachtung der eigenen Risiken und Abhängigkeiten. Darauf aufbauend gilt es, geeignete organisatorische und technische Maßnahmen zu etablieren sowie Notfall- und Wiederanlaufprozesse vorzubereiten und regelmäßig zu überprüfen.

Ebenso wichtig ist die Einbindung der Mitarbeitenden. Informationssicherheit ist eine Querschnittsaufgabe, die nur dann wirksam ist, wenn sie in der gesamten Organisation gelebt wird. Sensibilisierung und klare Leitlinien tragen dazu bei, Risiken frühzeitig zu erkennen und angemessen zu reagieren.

Fazit

Der Praxisfall zeigt letztlich vor allem eines: Cyberangriffe sind heute Teil der unternehmerischen Realität. Die Frage ist nicht mehr, ob ein Unternehmen betroffen sein könnte, sondern wie gut es darauf vorbereitet ist. Die rund 19 Tage eingeschränkter Geschäftsbetrieb verdeutlichen die betriebswirtschaftliche Dimension solcher Vorfälle. Informationssicherheit ist daher keine optionale Zusatzaufgabe, sondern ein wesentlicher Baustein für Stabilität, Vertrauen und Zukunftsfähigkeit im Mittelstand.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel sowie Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der nächste Frühlings-Spaziergang führt rund um Artikel 26, ein besonders schönes Gebilde: Mehrere Bäume – nein: Verantwortliche – sind hier verflochten und ineinander verwachsen. Die obligate Text-Kritik (Wie könnte die DS-GVO klar und kurz lauten?) erledigen wir zuerst und schauen dann genauer auf das Gebilde und sein ganz spezielles Problem.

Inhaltliche Kritik

Wieder einmal von hinten lesend erfahren wir in Absatz 3, dass Absätze 1 und 2 nicht sehr wichtig sind. Die Betroffenen können bei gemeinsamer Verantwortung jeden Verantwortlichen in die Pflicht nehmen. Was die Verantwortlichen (nach Absatz 1 und 2) vereinbaren und zur Verfügung stellen, ist für die Außenhaftung ganz egal. Deshalb sind Absatz 1 und 2 meines Erachtens überflüssig. Geregelt werden muss nur (Absatz 3), dass bei gemeinsamer Verantwortung alle Verantwortlichen gemeinsam für alles geradestehen. Wie sie intern ihre Pflichten verteilen und ob sie die Pflichten überhaupt verteilen – vielleicht erledigen sie ja alles gemeinsam – können sie selbst entscheiden. Sie tragen ja die Konsequenzen.

Der Gesetzgeber lässt es aber nicht bei der Vorschrift gemeinsamer Außenhaftung, sondern verlangt mehr Aufwand. Eine Vereinbarung nach Absatz 1 und 2 muss (!) erstellt werden. Mindest-Inhalt: Absatz 1 Satz 2 und Absatz 2 Satz 1. Kann-Inhalt: Absatz 1 Satz 3 – Nennung einer Anlaufstelle, die der Betroffene aber nicht anlaufen muss. Zusatz-Arbeit: Das Wesentliche – hat der Gesetzgeber versehentlich klein geschrieben und in den bisherigen Evaluierungen der DS-GVO nicht als Fehler berichtigt – wird nochmals gesondert „vertextet“ und den Betroffenen zur Verfügung gestellt. Für die Betroffenen ist es – wie Absatz 3 regelt – sowieso egal.

Vorschlag für eine präzise DS-GVO: Erster Halbsatz und letzter Halbsatz des Artikels. Alles dazwischen ist keine Kunst und kann weg. Es bliebe: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke oder Mittel der Verarbeitung fest, kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem Verantwortlichen geltend machen.“

Auswirkungen in der Praxis

Aus der eigentlich wichtigen Regelung des Artikel 26 – gemeinsame Haftung der gemeinsam Verantwortlichen füreinander – ergibt sich das eigentlich wichtige Problem der Norm: Wann besteht diese „Mithaftung“?

Nicht zufällig sind große Datenverarbeiter wie Meta und Microsoft sehr bemüht, nicht in den Status einer gemeinsamen Verantwortlichkeit mit all den vielen Verantwortlichen zu geraten, deren personenbezogene Daten sie unter anderem auch zur Weiterentwicklung des eigenen Produkts verarbeiten. Deshalb ist auch nicht zufällig, dass die wohl wichtigste Entscheidung in diesem Kontext Meta betraf: Der Europäische Gerichtshof (EuGH) entschied (Urt. v. 05. Juni 2018, Az. C-210/16, übrigens noch zur Vorgänger-Norm in der Datenschutz-Richtlinie 95/46) für Facebook-Fanpages, dass Meta und die jeweiligen Fanpage-Betreiber gemeinsam Verantwortliche sind.

Zentral an dieser Entscheidung war und ist die Aussage, dass eine gemeinsame Festlegung von Zwecken und Mitteln nicht gemeinsame Zwecke und Mittel verlangt. Es genügt auch, wenn mehrere Verantwortliche gemeinsam dieselben Daten verarbeiten und dabei jeder sein eigenes Süppchen kocht. Das ist weitgehend und eine ganz schlechte Nachricht für die großen Software-Anbieter.

So sieht es der EuGH und er darf das europäische Recht verbindlich auslegen. Aber die Frage ist erlaubt: Ist das überzeugend? Sollte es vielleicht noch einmal überdacht werden? Zumindest der eine Verantwortliche (Beispiel: der Fanpage-Betreiber) übermittelt/überlässt personenbezogene Daten dem anderen. Ist dann nicht die entscheidende Frage (nur), ob es für diese Übermittlung/Überlassung eine Rechtsgrundlage gibt? Gibt es sie nicht, liegt der Rechtsverstoß in der Übermittlung, also in der Nutzung einer vom anderen Verantwortlichen überlassenen Software im Wissen, dass der Software-Anbieter die Daten zu eigenen Zwecken nutzt.

Wie gesagt – bis der EuGH sich anders positioniert, ist die Frage für die Praxis entschieden. Wer Microsoft 365 einsetzt und Datenverarbeitungen zur Produktweiterentwicklung duldet, sitzt mit Microsoft in einem Boot. Das findet auch Microsoft nicht angenehm. Neuer Lösungsversuch von dort: Im Vertrag nach Artikel 28 erteilt der Lizenznehmer/Nutzer an Microsoft den Auftrag zur Produkt-Weiterentwicklung. Naja.

Ihnen schöne und echte Frühjahrs-Spaziergänge, gern auch mal ohne DS-GVO!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Die heutige Etappe führt uns bei wunderbarem Frühlings-Wetter zu schönen Aussichten: Datenschutz by design und by default, also durch datenschutzfreundliche Technikgestaltung und Voreinstellungen. Letztere sind ja eigentlich nur ein Teilbereich der Technikgestaltung. Klingt wie „Datenschutz automatisch“.

Ein kurzer Überblick

Anfangs kämpfen wir uns natürlich wieder durch den Dschungel der furchtbar verworrenen Sprache der DS-GVO. Aber so ist sie nun einmal, die DS-GVO: Von uns verlangt sie Klarheit und Prägnanz, selbst liefert sie das Gegenteil. Vielleicht ein besonders raffiniertes Manöver des Gesetzgebers: Das abschreckend schlechte Beispiel?

Absatz 1 besteht aus einem einzigen Satz, der irgendwie – wenn auch nicht literarisch – an Thomas Mann erinnert. Ich habe sieben „und“ gezählt (korrekt?), außerdem „sowie“, „als auch“ und „wie etwa“. Absatz 2 wiederholt den ersten Absatz für einen Teilbereich nochmals mit anderen Worten und Absatz 3 sagt gar nichts aus.

Wie üblich, hier der Versuch einer Übersetzung für schlichte Spaziergänger: Verantwortliche treffen bei der Planung und beim Einsatz ihrer Datenverarbeitung die im Einzelfall angemessenen Maßnahmen für wirksamen Datenschutz. Dazu gehört, dass Datenverarbeitung von Vornherein nur im nötigen Umfang erfolgt, z. B. hinsichtlich der Erhebung und Speicherung von Daten. Dazu gehört außerdem, dass der Personenbezug von Daten angemessen vermieden oder reduziert wird (Anonymisierung oder Pseudonymisierung).

Beim Übersetzen ist Absatz 2 Satz 3 besonders schwierig und rätselhaft. Welche Person ist gemeint? Die betroffene Person? Aber es gibt doch massenhaft Fälle, in denen „ohne Eingreifen der Person“ Daten weltweit veröffentlicht werden. Ist das – auch bei Rechtsgrundlage nach Artikel 6 – verboten? Haben Sie eine Erklärung?

Artikel 25 in der PRaxis

Den Grundsatz finden (fast) alle gut: Persönliche Daten sollen nicht unnütz gefährdet werden. Am besten, der Datenschutz ist eingebaut, also die Systeme minimieren das Risiko. Artikel 25 spricht zwar – wie andere Artikel auch – von technischen und organisatorischen Maßnahmen (unseren „TOM“ im Datenschutz-Slang), aber er wird hauptsächlich mit den technischen Maßnahmen in Verbindung gebracht. Hard- und Software soll datenschutzfreundlich gebaut und konfiguriert sein. Soweit also Einigkeit. Schön.

Herausforderungen gibt es in der Praxis mindestens zwei:

1. Was ist für eine bestimmte Datenverarbeitung angemessen, also welchen Datenschutz-Aufwand muss (!) der Verantwortliche betreiben? Natürlich gibt es einen klaren Bereich: Maßnahmen ohne oder mit ganz geringem Zusatzaufwand sind immer richtig. Aber wann ist die technische Erzwingung eines komplexen Passworts (12 Stellen? 15 Stellen?) oder einer bestimmten Wechsel-Frequenz angemessen? Und wann ist sie unnötige Schikane?
   
2. Wie können kleine Verantwortliche extrem komplexe Systeme datenschutz-optimieren, die von großen Nicht-Verantwortlichen erstellt und permanent verändert werden? Das ist zu verschwurbelt gefragt? Also konkreter: Wie konfigurieren Frau Bäcker und Herr Blumenhändler SOPHOS und Microsoft 365?

Die schlechte Nachricht: Beide Themen sind nicht für die Ewigkeit allgemein lösbar, sondern brauchen die Prüfung bzw. Entscheidung im konkreten Fall. Wir werden uns also immer wieder – und sogar für die selben Datenverarbeitungen immer wieder – mit diesen Fragen befassen müssen. Die gute Nachricht: Das ist sinnvoll investierte Zeit und bringt echten Datenschutz. In diesem Sinn: Viel Spaß beim Frühjahrsputz!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 26. Januar 2026 stellte die Europäische Kommission offiziell fest, dass Brasilien ein mit der Europäischen Union vergleichbares Schutzniveau für die Verarbeitung personenbezogene Daten bietet und damit die Anforderungen des Art. 45 DS-GVO erfüllt. Mit diesem Angemessenheitsbeschluss wird die Übermittlung personenbezogener Daten von der Europäischen Union nach Brasilien deutlich erleichtert, da keine zusätzlichen Übermittlungsinstrumente wie Standardvertragsklauseln oder Binding Corporate Rules erforderlich sind. Für Organisationen bedeutet dies eine spürbare Vereinfachung und erhöhte Rechtssicherheit bei Datenübermittlungen nach Brasilien.

Was ist ein Angemessenheitsbeschluss?

Werden personenbezogene Daten an Organisationen außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums übermittelt, reicht eine allgemeine Rechtsgrundlage (z. B. vertragliche Grundlage, berechtigtes Interesse) allein nicht aus. Zusätzlich müssen die Anforderungen aus Kapitel V der DS-GVO erfüllt sein. Ziel ist es dabei, dass das europäische Datenschutzniveau auch bei einer Verarbeitung in sogenannten Drittländern gewahrt bleibt. Hier setzt der Angemessenheitsbeschluss an: Die Europäische Kommission kann feststellen, dass ein bestimmtes Drittland oder eine internationale Organisation ein der Europäischen Union vergleichbares Datenschutzniveau bietet.

Maßgeblich sind dabei gemäß Art. 45 Abs. 2 DS-GVO:

• Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

• Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

• Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Wird ein solches angemessenes Schutzniveau festgestellt, dürfen personenbezogene Daten in dieses Land grundsätzlich ohne zusätzliche Garantien (z. B. Standardvertragsklauseln oder Binding Corporate Rules) übermittelt werden – der Angemessenheitsbeschluss wirkt damit wie eine „datenschutzrechtliche Brücke“ und vereinfacht internationale Datenübermittlungen erheblich. Um sicherzustellen, dass das festgestellte Schutzniveau weiterhin besteht, überprüft die Europäische Kommission bestehende Angemessenheitsbeschlüsse regelmäßig.

Hintergründe zum Angemessenheitsbeschluss für Brasilien

Mit Blick auf Brasilien ist insbesondere die strukturelle Annäherung des dortigen Datenschutzrechts an europäische Standards hervorzuheben. Die brasilianische „Lei Geral de Proteção de Dados“ (LGPD) orientiert sich systematisch an zentralen Prinzipien der DS-GVO, darunter Transparenz, Zweckbindung, Datenminimierung sowie umfassende Betroffenenrechte. Auch die Existenz einer eigenständigen Datenschutzaufsichtsbehörde (Autoridade Nacional de Proteção de Dados – ANPD) war ein wesentlicher Bestandteil der Bewertung. Diese institutionellen und materiell-rechtlichen Parallelen bildeten die Grundlage für die positive Entscheidung der Europäischen Kommission.

Für Organisationen mit Niederlassungen, Auftragsverarbeitern oder Geschäftspartnern in Brasilien vereinfacht der Angemessenheitsbeschluss die praktische Umsetzung von Datentransfers erheblich. Bestehende Standardvertragsklauseln oder andere Transferinstrumente, die ausschließlich zur Absicherung des Drittlandtransfers implementiert wurden, können überprüft und gegebenenfalls angepasst werden. Dadurch lassen sich vertragliche Strukturen und interne Prozesse verschlanken.

Wichtig bleibt jedoch: Der Angemessenheitsbeschluss ersetzt nicht die übrigen Anforderungen der DS-GVO. Für jede Verarbeitung ist weiterhin eine belastbare Rechtsgrundlage erforderlich. Zudem müssen die allgemeinen Grundsätze – etwa Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit – eingehalten werden. Auch Informationspflichten, Betroffenenrechte sowie Dokumentations- und Rechenschaftspflichten gelten unverändert fort. Der Beschluss schafft damit operative Erleichterungen bei Datenübermittlungen nach Brasilien, entbindet Unternehmen jedoch nicht von einem strukturierten und ganzheitlichen Datenschutzmanagement.

Fazit

Der Angemessenheitsbeschluss für Brasilien stellt für international tätige Organisationen einen relevanten Schritt zur Vereinfachung grenzüberschreitender Datenflüsse dar. Datenübermittlungen können künftig auf einer stabilen unionsrechtlichen Grundlage erfolgen, ohne dass zusätzliche Übermittlungsinstrumente erforderlich sind. Gleichzeitig bleibt jedoch festzuhalten: Die Erleichterung betrifft ausschließlich die Transfermechanik. Die weiteren Anforderungen der DS-GVO gelten unverändert fort.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wir haben in unserem Blog bereits an zahlreichen Stellen über mögliche Datenschutzverletzungen sowie deren Eintrittsszenarien berichtet. Eine potenzielle Datenschutzverletzung, welche häufiger nicht die praktische Bedeutung erfährt, welche sie eigentlich genießen sollte, haben wir bisher noch unbeachtet gelassen: Weitreichende Zugriffsrechte, welche die unbefugte Kenntnisnahme von (personenbezogenen) Daten ermöglichen. Der Bayrische Landesbeauftragte für den Datenschutz (BayLfD) veröffentlichte Mitte Januar 2026 eine Kurz-Information unter dem Titel „Dateiablagen als Quelle von Datenpannen“.  Der BayLfD bietet mit seinen „Aktuellen Kurz-Informationen“ praxisnahe Hinweise zur Datenschutz-Grundverordnung für öffentliche Stellen und Unternehmen. Gründe genug also sich einmal näher mit den entsprechenden Fallkonstellationen auseinander zu setzen. Die Kurz-Information Nr. 65 soll im Mittelpunkt unseres heutigen Blog-Beitrages stehen.

First at all: Unbfugte Kenntnisnahme als Datenschutzverletzung

Zur Erinnerung: Nach Art. 4 Nr. 12 DS-GVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

In den durch den BayLfD geschilderten Fällen handelt es sich vielmals um eine unbefugte Offenlegung. Eine Offenlegung liegt dabei vor, wenn die jeweils betroffenen personenbezogenen Daten einem Empfänger gemäß Art. 4 Nr. 9 DS-GVO zur Kenntnis gelangen. Nach hier vertretener Ansicht ist es dafür unerheblich, ob es sich hierbei um einen internen oder externen Empfänger handelt.

Der Europäische Datenschutzausschuss führt hierzu in seinen Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der DS-GVO aus: „Die unrechtmäßige oder unbefugte Verarbeitung schließlich kann die Offenlegung personenbezogener Daten gegenüber (bzw. den Zugang zu personenbezogenen Daten von) Empfängern, die nicht zum Erhalt der (bzw. zum Zugang zu den) Daten befugt sind, sowie jede andere Form der Verarbeitung unter Verstoß gegen die DSGVO beinhalten.“

Abzustellen ist demnach auf die nicht vorliegende Autorisierung bzw. Befugnis zur Kenntnisnahme der Daten. Obwohl insofern ein Zusammenhang mit der Zulässigkeit der Datenverarbeitung besteht (zur Erinnerung: eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DS-GVO setzt eine Verletzung der Sicherheit voraus, nicht einen Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung), ist für die Schutzverletzung nur auf die technischen und organisatorischen Maßnahmen abzustellen.

Dagegen kann durchaus hinterfragt werden, ob die Verletzung der Sicherheit voraussetzt, dass tatsächlich eine Kenntnisnahme der personenbezogenen Daten durch unbefugte Personen erfolgt ist oder die Möglichkeit der Kenntnisnahme ausreicht. Richtigerweise wird man davon ausgehen müssen, dass in den Fällen der unbefugten Offenlegung eine Verletzung der Sicherheit bereits eingetreten ist, wenn die Offenlegung erfolgt ist. Dagegen wird man die Frage, ob tatsächlich eine Kenntnisnahme stattgefunden hat, im Rahmen der Bewertung der Höhe des Risikos nachgehen und ob möglicherweise technische und organisatorische Maßnahmen (beispielsweise Löschbestätigung ohne Sichtung von Datensätzen) das potenzielle Risiko minimieren oder ausschließen.

Nun zur besagten Kurzinformation

Zurück zum Paper des BayLfD. Betrachtet werden (zentrale) Dateiablagen in Form von Verzeichnissen auf einem Server wie auch elektronische Akten oder ähnlichem: „Oftmals sind zentrale Dateiablagen als eigene Laufwerke mit einem festen Laufwerksbuchstaben eingerichtet, auf die je nach Größe der Dienststelle alle Beschäftigten oder – etwa nach Organisationseinheiten gegliedert – größere oder kleinere Gruppen zugreifen können. Die Verzeichnisnamen in den Laufwerken sind in der Regel so gewählt, dass für die Beschäftigten ersichtlich ist, welche Kategorien von Informationen dort zu erwarten sind.“

Zur Vermeidung von Datenschutzverletzungen im Zusammenhang mit Verzeichnissen und Dateiablagen rät der ByLfD zu folgenden Maßnahmen:

• Prüfen von Berechtigungen, bevor personenbezogene Daten in einem Verzeichnis abgelegt werden;
• Im Zweifel sind neue Verzeichnisse anzulegen;
• Seitens des Verantwortlichen wird zudem das Festlegen von zentralen Anforderungen bzw. Vorgaben für Dateiablagen aufgeführt (z. B. Festlegung von Zuständigkeiten für die Löschung von Dateien, Ergreifen zusätzlicher Maßnahmen bei der Ablage von sensiblen Daten wie Erstellung von Unterverzeichnissen oder Berechtigungsbeschränkungen bzw. Vergabe von Passwörtern) sowie Vergabe von Löschfristen.

Ähnliche Problemstellung, anderes System: Microsoft SharePoint

Die Nutzung von Microsoft SharePoint als Plattform für die gemeinsame Dokumentenverwaltung bringt in seiner Verwendung häufig ähnliche Probleme mit sich: „Obwohl SharePoint durch seine Funktionen zur Versionierung, Zugriffssteuerung und Zusammenarbeit viele Vorteile bieten kann, besteht auch hier die Gefahr, dass Datenpannen auftreten, insbesondere wenn Berechtigungen nicht sorgfältig verwaltet werden.“ Bei SharePoint können Berechtigungen auf unterschiedlichen Ebenen (Site-, Bibliotheks- oder Dokumentenebene) vergeben werden. Hierdurch entsteht mitunter eine hohe Komplexität. Dies gilt insbesondere, wenn diverse Dateiablagen im SharePoint von unterschiedlichen Teams genutzt werden.

Im Vergleich zu „normalen“ Dateiablagen bietet SharePoint jedoch die Möglichkeit sogenannte Audit-Logs zu protokollieren, um potenzielle Zugriffe nachzuverfolgen. Wiederrum sollte man Vorsicht walten lassen, das die Auswertungen der Zugriffsrechte wiederrum einen Zugriff auf personenbezogene Daten darstellen kann und somit einer (datenschutzrechtlichen) Rechtfertigung bedarf.

Fazit

Der BayLfD kommt im Ergebnis daher zu den Kernaussagen, dass Betriebsmittel wie gemeinsame Datenablagen oder Austauschverzeichnisse eine häufige Quelle von Datenpannen bzw. Datenschutzverletzungen sein können und dass bei der Arbeit sowie der Administration solcher Datenablagen und Verzeichnisse durch leicht umsetzbare Routinen einfache Verletzungshandlungen vermieden werden können. Beide Ansichten überzeugen. In der täglichen Arbeit stellen wir ebenso fest, dass leicht zu derartigen Verletzungen durch unbefugte Offenlegungen kommen kann. All zu leicht sind weitreichende (Lese-)Rechte eingerichtet, ohne dass es hierfür entsprechende Rechtfertigungen gibt. Ein handfestes Berechtigungskonzept kann hier beispielsweise Abhilfe schaffen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Unsachgemäß verwendete Passwörter führen immer wieder zu Sicherheitsproblemen: Sie werden vergessen, mehrfach verwendet oder auf Zetteln notiert. Vor diesem Hintergrund erscheint Windows Hello vielen Organisationen als naheliegende Lösung: Statt Passwort genügt ein Blick in die Kamera oder ein Finger auf dem Sensor, alternativ eine PIN. Technisch wirkt das modern, nutzerfreundlich und sicher. Datenschutzrechtlich stellt sich jedoch eine entscheidende Frage, sobald biometrische Merkmale ins Spiel kommen: Dürfen Beschäftigte per Gesicht oder Fingerabdruck authentifiziert werden – und wenn ja, unter welchen Voraussetzungen?

Biometrie und Datenschutz

Bei biometrischen Daten handelt es sich gemäß Art. 4 Nr. 14 DS-GVO um „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen […].“ Hierzu können etwa auch Fingerabdrücke oder Gesichtsmerkmale zählen. Der Gesetzgeber stuft diese gemäß Art. 9 Abs. 1 DS-GVO als sogenannte besondere Kategorien personenbezogener Daten und damit als besonders schutzwürdig ein. Der Grund dafür ist leicht verständlich: Ein Passwort kann geändert werden, ein Fingerabdruck nicht. Gerät ein biometrisches Merkmal in falsche Hände, lässt sich der damit eingetretene Schaden kaum rückgängig machen.

Auch wenn Windows Hello technisch so konzipiert ist, dass biometrische Merkmale nicht im Klartext oder cloudbasiert gespeichert werden, sondern als verschlüsseltes mathematisches Muster lokal auf dem Gerät verbleiben, ändert das nichts an der datenschutzrechtlichen Einordnung. Entscheidend ist lediglich, dass biometrische Daten verarbeitet werden.

Die Nutzung von biometrischen Daten lässt sich ferner nicht einfach damit rechtfertigen, dass sie praktischer ist. Datenschutzrechtlich kommt es vielmehr darauf an, ob sie wirklich erforderlich ist oder ob gleich geeignete, weniger eingriffsintensive Alternativen existieren. Im typischen Arbeitsumfeld ist genau das der Knackpunkt. Für die Anmeldung an einem Endgerät stehen mit Passwort, PIN oder Chipkarte regelmäßig Alternativen zur Verfügung, die ebenfalls sicher und praxistauglich sind. In solchen Konstellationen wird es schwierig zu begründen, warum ausgerechnet die Verwendung biometrischer Daten zwingend notwendig sein soll. An dieser Stelle rückt zwangsläufig die Einwilligung der Beschäftigten in den Fokus.

In die gleiche Kerbe schlägt auch das Urteil des Landesarbeitsgericht Berlin-Brandenburg (LAG Berlin-Brandenburg, Urt. v. 4. Juni 2020 – 10 Sa 2130/19), wonach Beschäftigte nicht verpflichtet werden können, ein biometrisches Verfahren – dort die Zeiterfassung per Fingerabdruck – zu nutzen. Ausschlaggebend war unter anderem, dass weniger eingriffsintensive Alternativen zur Verfügung standen. Das Gericht stellte klar, dass biometrische Daten keinen bequemen Ersatz für andere Verfahren darstellen dürfen, wenn deren Einsatz nicht zwingend erforderlich ist. Diese Wertung lässt sich ohne Weiteres auf Authentifizierungslösungen übertragen.

Einwilligung im Beschäftigtenverhältnis

Die Einwilligung gilt als Ausdruck selbstbestimmter Entscheidung. Im Arbeitsverhältnis ist sie jedoch besonders strittig. Der Grund ist offensichtlich: Zwischen Arbeitgeber und Beschäftigten besteht ein Abhängigkeitsverhältnis. Niemand möchte den Eindruck erwecken, nicht mitzumachen oder sich technischen Neuerungen zu verweigern. Genau deshalb stellt das Datenschutzrecht hohe Anforderungen an die Freiwilligkeit einer Einwilligung im Beschäftigungskontext.

Für Windows Hello mit Biometrie heißt das ganz konkret: Eine Einwilligung ist nur dann tragfähig, wenn Beschäftigte eine echte Wahl haben. Diese Wahl muss sich nicht nur auf dem Papier, sondern im Arbeitsalltag zeigen. Wer Biometrie nicht nutzen möchte, muss problemlos auf eine Alternative ausweichen können – etwa auf eine PIN-Anmeldung. Diese Alternative muss gleichwertig, praktikabel und dauerhaft verfügbar bleiben. Ebenso wichtig ist, dass aus der Ablehnung oder einem späteren Widerruf keinerlei Nachteile entstehen, weder formell noch informell.

Zu einer wirksamen Einwilligung gehören eine verständliche Information darüber, was Windows Hello macht und was nicht, eine klare Aussage zur Freiwilligkeit, ein transparenter Widerrufsprozess und organisatorische Vorkehrungen, die sicherstellen, dass der Widerruf tatsächlich gelebt wird. Wird die Verarbeitung biometrischer Daten hingegen faktisch zur Voraussetzung für den Arbeitsalltag, verliert die Einwilligung ihren freiwilligen Charakter – und damit ihre rechtliche Belastbarkeit.

Schließlich sollte auch die Risikobetrachtung nicht vergessen werden: Biometrische Daten gelten als besonders sensibel, weshalb je nach Umfang und Ausgestaltung der Verarbeitung zu prüfen ist, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Diese ist kein Selbstzweck, sondern ein Instrument, um Risiken systematisch zu identifizieren: Was passiert bei Geräteverlust? Wie werden die betreffenden Informationen gelöscht? Welche Zugriffsmöglichkeiten bestehen für Administratoren? Schon eine kurze, strukturierte Bewertung kann helfen, Schwachstellen frühzeitig zu erkennen und zu adressieren.

Fazit

Windows Hello kann in Organisationen insbesondere als Beitrag zur besseren Nutzerfreundlichkeit verwendet werden. Datenschutzrechtlich tragfähig ist der Einsatz jedoch nur, wenn Beschäftigten dauerhaft auch nicht-biometrische Anmeldeverfahren offenstehen. Die Geräteanmeldung mittels biometrischer Merkmale darf weder zum Standard noch faktisch zum Zwang werden. Sie kann nur dann Bestand haben, wenn sie auf echter Freiwilligkeit beruht, transparent kommuniziert wird und gleichwertige Alternativen tatsächlich zur Verfügung stehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nichts ist so beständig wie der Wandel – oder die datenschutzrechtliche Diskussion über Microsoft 365. Nachdem wir bereits im Oktober 2020 sowie im November und Dezember 2022 den jeweiligen Standpunkt der Datenschutz-Aufsichtsbehörden sowie mögliche Herangehensweisen darstellten, wandte sich nun der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) im November 2025 mit einer – zu Teilen sicher unerwarteten – Pressemitteilung an die Öffentlichkeit: „Microsoft 365 kann datenschutzkonform genutzt werden“ heißt es in der Überschrift. Zu den Hintergründen des vermeintlichen Sinneswandels.

Was bisher geschah

Ende November 2022 hieß es von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder („Datenschutzkonferenz“, kurz: DSK) zuletzt: „Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. […] Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“ Hauptkritikpunkt war demnach im Wesentlichen die vertragliche Grundlage zur Auftragsverarbeitung und daran anknüpfende Aspekte der Transparenz. Microsoft hatte diese Auffassung – wenig überraschend – nicht geteilt und eine entsprechende Stellungnahme veröffentlicht.

Nachdem die Handlungsempfehlungen der Datenschutz-Aufsichtsbehörden zum damaligen Zeitpunkt insbesondere individuelle Vertragsanpassungen vorsahen, die seitens der Verantwortlichen gegenüber Microsoft durchgesetzt werden sollten, vermeldete das Niedersächsische Ministerium für Inneres und Sport im Mai 2024 erstmals die datenschutzkonforme Nutzung von Microsoft Teams auf Basis individuell vereinbarter datenschutzrechtlicher Vereinbarungen – nach Ansicht des LfD Niedersachen zum damaligen Zeitpunkt immerhin ein „akzeptables“ Ergebnis.

Auch der Europäische Datenschutzbeauftragte (EDSB) bestätigte im Juli 2025 den datenschutzkonformen Einsatz von Microsoft 365 bei der EU-Kommission. Nachdem dieser im Frühjahr 2024 einige datenschutzrechtliche Mängel feststellte und konkrete Abhilfemaßnahmen auferlegte, konnte die EU-Kommission die Umsetzung der Maßnahmen letzten Endes nachweisen. Auch hierbei handelte es sich neben der Umsetzung ergänzender technischer und organisatorischer Maßnahmen ebenfalls um die Etablierung zusätzlicher vertraglicher Regelungen.

Zum Ergebnis des HBDI

Im Bericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft 365 werden auf 137 Seiten ausführlich die rechtlichen Erwägungen des HBDI sowie daraus erwachsende Handlungsempfehlungen für Organisationen dargelegt. Im Rahmen der Pressemitteilung fasst die hessische Datenschutz-Aufsichtsbehörde das Ergebnis wie folgt zusammen:

„In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen geändert haben. Zum einen haben sich rechtliche Vorgaben verändert wie z. B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks. Zum anderen hat [Microsoft] seine Datenverarbeitung an europäische Anforderungen angepasst wie z. B. durch die EU-Datengrenze, durch die [Microsoft] fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet.

Drittens hat [Microsoft] Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert. Viertens konnte der HBDI erreichen, dass [Microsoft] das DPA (für öffentliche Stellen) fortentwickelt hat. Schließlich stellt [Microsoft] zusätzliche Informationen bereit wie z. B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt. Das positive Ergebnis beruht auch auf der Erwartung, dass [Microsoft] und die Verantwortlichen zusammenwirken, damit Verantwortliche M365 datenschutzrechtskonform nutzen können.“

Mitunter ausschlaggebend waren eben auch hier vertragliche Anpassungen. Deutlich wird dabei auch, dass seitens des HBDI hauptsächlich vertragliche und dokumentarische Aspekte, nicht jedoch die durch die jeweiligen Anwendungen tatsächlich stattfindenden Verarbeitungen personenbezogener Daten überprüft wurden. Es bedarf also neben gegebenenfalls erforderlichen vertraglichen Ergänzungen weiterhin auch einer fundierten Auseinandersetzung mit der technischen Konfiguration der Microsoft 365-Instanz mitsamt aller Anwendungen und Prozesse.

Fazit

Die Überschrift der Pressemitteilung des HBDI „Microsoft 365 kann datenschutzkonform genutzt werden“ darf nicht missverstanden werden. Zwar konnte Microsoft im Rahmen der Prüfung durch die hessische Datenschutz-Aufsichtsbehörde vermeintliche Mängel ausräumen, die Implementierung und Nutzung von Microsoft 365 setzt durch die jeweiligen Organisationen jedoch weiterhin eine konkrete Betrachtung der genutzten Anwendungen, potenzieller Risiken und vorhandener Einstellungsmöglichkeiten voraus. Ein datenschutzkonformer Betrieb von Microsoft 365 ist damit nicht ausgeschlossen; er kann jedoch nicht pauschal unterstellt werden und entbindet nicht von einer einzelfallbezogenen datenschutzrechtlichen Prüfung und fortlaufenden Steuerung.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wir lehnen uns sicherlich nicht zu weit aus dem Fenster, wenn wir die Behauptung aufstellen, dass Art. 82 DS-GVO – Haftung und Recht auf Schadenersatz – zu den meist diskutiertesten Normen in der Datenschutz-Grundverordnung gehört. Wir haben uns in der Vergangenheit ebenfalls bereits mehrfach mit den Fragen rund um den datenschutzrechtlichen Schadenersatz befasst, beispielsweise im Rahmen der Frage zum Schadenersatz wegen verspäteter Auskunftserteilung. Grundlegende Beiträge zum Schadenersatzanspruch lassen sich zudem hier, hier und hier finden.

In unserem heutigen Beitrag soll es nunmehr um eine Entscheidung des Amtsgericht Wesel (Urt. v. 23.7.2025, 30 C 138/21) gehen, in welcher das Gericht über einen Schadenersatzanspruch nach Art. 82 DS-GVO eines Ehepaares gegenüber der (ehemaligen) Steuerkanzlei aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung infolge einer Fehlversendung zu entscheiden hatte.

Worum geht es in dem Urteil?

Die Kläger – das Ehepaar – waren über mehrere Jahre Mandanten der beklagten Steuerberaterkanzlei. Im August 2019 hatten sie der beklagten Steuerkanzlei per E-Mail mitgeteilt, dass sich ihre bisherige Anschrift geändert hätte. Die Kläger wiesen in der Folge vorsichtshalber noch mehrfach auf die neue Adresse hin. Im Juli 2020 beauftragten die Kläger die Kanzlei mit der Erstellung der Einkommenssteuererklärung für das Jahr 2019. Bei der Erstellung der Erklärung wurden automatisch die Kontaktdaten der vorherigen Erklärung eingelesen, die jedoch noch die ehemalige Adresse der Kläger enthielt. Aus diesem Grund wurde die Erklärung an die ursprüngliche Adresse versendet. Die (unberechtigten) Empfänger haben den Umschlag wegen der Namensähnlichkeit versehentlich geöffnet und ebenso vom Inhalt Kenntnis genommen.

Was hat das Gericht entschieden?

Das Gericht stellt zunächst fest, dass die Steuerkanzlei als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO gegen den Grundsatz der Richtigkeit aus Art. 5 Abs. 1 lit. d) DS-GVO („Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein […]“) verstoßen habe, indem diese die ehemalige (und veraltete) Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht hatte. Als unerheblich wurde vom Gericht angesehen, dass die veraltete Adresse durch das Programm bei der Erstellung der Erklärung automatisch eingefügt worden war. Dies gilt bereits deswegen, weil die Kanzlei dafür Sorge zu tragen hat, dass die veraltete Adresse überhaupt nicht mehr im System hinterlegt ist.

Im Rahmen der Betrachtung von Art. 82 Abs. 1 DS-GVO stellt der Verstoß gegen den Grundsatz der Richtigkeit der Datenverarbeitung zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht zu begründen. Noch einmal zum besseren Verständnis der Inhalt von Art. 82 Abs. 1 DS-GVO:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Den Klägern ist infolge des Verstoßes der verantwortlichen Steuerkanzlei auch ein Schaden entstanden. Das Gericht nimmt hierzu zunächst Bezug auf die geltende Rechtsprechung des Europäischen Gerichtshof und des Bundesgerichtshof: „Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert […]. Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten.“

Der Kontrollverlust des Ehepaares über Ihre personenbezogenen Daten ist demnach durch die irrtümliche Versendung der Einkommenssteuererklärung eingetreten, denn so wurde dem Ehepaar die Kontrolle darüber entzogen, welchem Personenkreis die sie betreffenden personenbezogenen Daten zugänglich waren. Bemerkenswert ist zudem, dass das Gericht feststellt, dass der Kontrollverlust bereits durch die Fehlversendung eingetreten sei, auf das tatsächliche Öffnen des Briefes kommt es insoweit nicht an, denn die Daten waren bereits dem Verfügungskreis der Kläger entzogen.

Die Kläger hätten sich zudem wegen der Weitergabe der sensibelsten und persönlichsten Daten, insbesondere Gesundheitsdaten, exponiert, stigmatisiert und bloßgestellt gefühlt, zumal sie als Bewohner einer ländlichen Gegend, in der es „viel Gerede“ gebe, sehr auf Diskretion bedacht seien.

Das Amtsgericht Wesel spricht nach alledem den Klägern einen Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu.

Was bleibt für die Praxis?

Leicht verwundert lässt einen der Sachverhalt dennoch zurück. Insbesondere der Umstand, dass an der ehemaligen Adresse tatsächlich namensgleiche Personen wohnten lädt zumindest dazu ein, darüber nachzudenken, ob nicht zwischen den Klägern und den „unberechtigten“ Empfängern vielleicht ein Verwandtschaftsverhältnis besteht. Andernfalls wäre es schon ein reichlich großer Zufall…

Im Ergebnis wurde den Klägern gemeinsam ein Schadenersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO in Höhe von 1.000 € zugesprochen. Die Betonung muss hier auf „gemeinsam“ liegen. Dies bedeutet eben auch, dass jedem Ehepartner jeweils nur 500 € zugesprochen wurde. Hinzu tritt, dass der Umfang des zugesprochenen Schadens erheblich unterhalb der von den Klägern angegebenen Größenordnung (insgesamt 15.000 €, je also 7.500 €) liegt.

Das Gericht führt hierzu aus: „Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind.“

Was bleibt also? Schadenersatzanspruch ja, aber bitte im Rahmen. Verantwortliche (Steuer-)Kanzleien sind dennoch gut beraten bei der täglichen Arbeit die tragenden Grundsätze des Datenschutzrechtes zu berücksichtigen. Nur weil eine verantwortliche Stelle einer berufsrechtlichen Verschwiegenheit unterliegt, ist dies nicht gleichbedeutend mit einer Nichtanwendbarkeit des Datenschutzrechtes.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.