Am 24. März 2026 stellte die Sächsische Datenschutz- und Transparenzbeauftragte, Fr. Dr. Julina Hundert, ihren Tätigkeitsbericht für das Jahr 2025 vor. Auf geballten 260 Seiten stellt die sächsische Datenschutzaufsichtsbehörde aktuelle datenschutzrechtliche Themen und Prüfungen aus dem vergangenen Jahr aus Wirtschaft und Verwaltung vor. Im heutigen Beitrag wollen uns einen kurzen Überblick über die wichtigsten Aspekte verschaffen.

Meldungen zu Datenschutzverletzungen und Beschwerden auf einem neuen Hoch

Hervorzuheben ist zunächst, dass es auch im Jahr 2025 einen erneuten Anstieg an gemeldeten Datenschutzverletzungen zu verzeichnen gibt. Im Berichtszeitraum sind 1.058 Meldungen nach Art. 33 DS-GVO bei der Aufsichtsbehörde abgesetzt wurden. Dies ist im Vergleich zum Vorjahr eine Steigerung um ca. 5%. Zu den häufigsten Verletzungshandlungen zählen Fehlversendungen, offene E-Mail-Verteiler, Verlust auf dem Postweg, Hacking bzw. Schadcode, kompromittierte E-Mail-Konten sowie Einbruch und Diebstahl. Diese Fallgruppen sind nahezu identisch zu denen des vorangegangenen Jahres.

Ein deutlicherer Anstieg ist bei den Beschwerden zu verzeichnen. So gingen im Berichtszeitraum 1.614 Eingaben bei der Behörde ein. Dies ist im Vergleich zu 2024 ein Anstieg um 29%. Der Zuwachs betraf sowohl den nichtöffentlichen als auch den öffentlichen Bereich. Sofern man ein wenig über den Tellerrand blickt, dass sind bei vielen deutschen Aufsichtsbehörden die Beschwerdezahlen deutlich angestiegen. Wie auch die sächsische Behörde betont, stellt dies zunehmend ein Ressourcenproblem dar.

Entwicklungen auf dem Gebiet der Künstliche Intelligenz

Das Thema Künstliche Intelligenz bzw. KI ist aus dem Arbeitsalltag in Verwaltung und Wirtschaft nicht mehr wegzudenken. Über die datenschutzrechtlichen Anforderungen bei der Nutzung von KI und die datenschutzrechtlichen Transparenzanforderungen bei Nutzung von KI haben wir bereits berichtet. Ebenso nimmt die Aufsichtsbehörde das Thema auf die Agenda. Interessant ist hierbei vor allem der Hinweis, dass die sächsische Landesregierung mit der Beteilung der Sächsischen Datenschutzbeauftragten Regeln zum rechtskonformen Einsatz von KI in der öffentlichen Verwaltung erarbeitet (vgl. Ziff. 1.3). Weiterhin wird das In-Kraft-Treten der Verordnung über künstliche Intelligenz (KI‑Verordnung oder KI‑VO) und der nunmehr geltenden Pflichten adressiert, Ziff. 6.1.

„Einblicke in die sächsische Webseitenlandschaft und Nachprüfung von Google Analytics“

Einen Blick wert sind die Ausführungen zur Kontrolle der Internetpräsenzen (vgl. Ziff. 4.1.1 f.) durch die Behörde. In den Jahren 2024 und 2025 wurden insgesamt 32.981 Webseiten von sächsischen Unternehmen, Vereinen und Behörden automatisiert geprüft. Eine (bekannte) Auffälligkeit war hierbei die hohe Anzahl der Einbindung von Google-Diensten ohne Einwilligung der Nutzenden. Nach schriftlichen Anschreiben im Jahr 2024 wurden 2025 dann gegen einzelne Verantwortliche, welche keine Anpassung Ihrer Webseiten vorgenommen hatten (insgesamt 803 verantwortliche Stellen) gezielt aufsichtsbehördliche Verfahren eingeleitet. Den Verantwortlichen wurde ein Informationsersuchen mit Ankündigung eines Verwaltungsverfahrens übermittelt.

Neben den Einzelverfahren wurden ebenfalls automatisierte Prüfungen durchgeführt. Im Oktober 2025 wurden so 29.260 Webseiten geprüft. Analysiert wurde der initiale Aufruf der Website sowie zwei weitere Unterseiten, ohne jegliche Interaktion mit der Website, also ohne erteilte Einwilligungen. Insgesamt 65,5 % dieser Webseiten führten ohne Einwilligung Netzwerkanfragen an Drittanbieter durch. Auffällig ist die weiterhin hohe Quantität der

Einbindungen von Google-Diensten ohne Einwilligung. Die Zahlen zeigen 8.562 Webseiten (29.3 %) mit Verbindungen zu Google LLC. Diese Verbindungen werden initiiert durch die Einbettung diverser Dienste, wie insbesondere Google Fonts, aber auch Google Tag Manager, Google Maps, Google Analytics oder Youtube. Daneben liegt nach wie vor eine hohe Anzahl an generellen Drittanbietern vor. Externe Verbindungen werden dabei insbesondere zu großen Dienstanbietern aufgebaut wie Cloudflare, Amazon und Facebook sowie zu Consent-Management-Anbietern wie Usercentrics oder eRecht24 und Webseitenbuilder wie Jimdo oder WordPress oder zu Services zur Einbindung externer Ressourcen wie OpenJS oder Fonticons. 54,4 % der Webseiten speicherten zudem Cookies. Insgesamt wurden 52.967 Cookies gesetzt, im Schnitt rund zwei Cookies pro Webseite.

Es sind allesamt interessante Zahlen und verdeutlicht für die Verantwortlichen, dass die Internetpräsenzen als Tor nach Außen datenschutzrechtlich sauber gehalten werden müssen. Wer hier Nachbesserungsbedarf hat, sollte dich dieses Tham zwingend auf die Agenda setzen.

Und dann ist da noch der Beschäftigtendatenschutz

Selbstverständlich darf auch der Beschäftigtendatenschutz als zentrales Element des Datenschutzrechtes nicht zur kurz kommen. So haben es einige bemerkenswerte Fälle in den aktuellen Bericht geschafft.

Den Anfang macht ein Prüfverfahren zum datenschutzkonformen Einsatz der Funktion „Anwesenheitsübersicht“ eines elektronischen Zeiterfassungssystems in einem Finanzamt (vgl. Ziff. 2.2.18). Hierbei verwundert insbesondere die Darstellung „Im Bereich der Finanzämter war die Funktion zunächst so ausgestaltet, dass jede/r Beschäftigte bei jeder/jedem anderen Beschäftigten eines Finanzamtes den Status einsehen konnte. Die Statusdaten umfassten zu Beginn die Angaben „anwesend“, „Telearbeit/mobiles Arbeiten“, „Dienstgang/Dienstreise“, „abwesend“ (mit hinterlegter Fehlzeit für geplante Abwesenheit, zum Beispiel Urlaub), „abwesend“ (ohne hinterlegte Fehlzeit für ungeplante Abwesenheit, zum Beispiel Pause, Kind krank.“ Den geneigten Lesern drängt sich hier bereits auf, dass dies mit den datenschutzrechtlichen Grundsätzen nicht übereinstimmen kann. Die Aufsichtsbehörde sah hierin einen Verstoß gegen das Erforderlichkeitsprinzip (hier im Rahmen des § 11 Abs 1 Satz 1 Sächsisches Datenschutzdurchführungsgesetz – SächsDSDG) sowie den Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 lit. c DS-GVO).

Auch die vorgebrachten Gründe der Personaleinsatzplanung seitens des Dienstherren konnten hier nicht überzeugen: „Es erschließt sich nicht, inwieweit die Information zum aktuellen An- und Abwesenheitsstatus und zur Angabe des Arbeitsortes, das heißt, einer Momentaufnahme überhaupt für eine Personaleinsatzplanung, geeignet sein soll […] Allgemeine und pauschale Aussagen, dass dies für die Personaleinsatzplanung vor dem Hintergrund des orts- und arbeitszeitflexiblen Arbeitens sowie einer Vielzahl von Arbeitszeitmodellen, die nicht in Planungsszenarien gefasst werden könnten, zwingend erforderlich sei, genügen den Anforderungen an eine datenschutzrechtliche Erforderlichkeit jedenfalls nicht.“ Ebenso verfangen weiteren Argumente der Organisation der Arbeitsabläufe („Der Verantwortliche trug zwar umfangreich vor und beschrieb dabei eine Vielzahl von Anwendungsfällen und Prozessen, diese ließen jedoch teilweise Zweifel aufkommen, ob sich derartige Prozesse mit der Lebenswirklichkeit bzw. üblichen Verwaltungspraxis in Einklang bringen lassen.“).

Der Fall liest sich nahezu schulbuchartig, denn die Aufsicht führt in der Folge noch zur Leistungs- und Verhaltenskontrolle sowie dem Transparenzgrundsatz aus (vgl. Art. 5 Abs. 1 lit. a) DS-GVO). Am Ende stehen Anordnungen gegenüber den 24 Finanzämtern zu Beschränkung von Zugriffsberechtigungen nach Art. 58 Abs. 2 lit. f) DS-GVO. Für die Praxis zeigt uns der Fall, dass Verarbeitungstätigkeiten, welche tendenziell die Leistungs- und Verhaltenskontrolle von Beschäftigten ermöglich, wohl geprüft und begründet werden müssen. Allein pauschale Angaben genügen – wenig überraschend – nicht.  

Spannende Fälle aus dem Beschäftigtenbereich liefert der Bericht zudem zur „Veröffentlichung von Beschäftigtendaten im Internet“ (vgl. Ziff. 2.3.1) und zur Thematik „Krankenbesuche durch den Arbeitgeber“ (vgl. Ziff. 2.3.2). Insbesondere der zweite Fall enthält eine datenschutzrechtlich interessante Ausführung, denn die Aufsichtsbehörde bezieht sich bei Ihren Ausführungen zur Einwilligung bei Gesundheitsdaten neben Art. 9 DS-GVO auf § 26 Abs. 3 BDSG. Dies streitet dafür, dass die Behörde diese Norm im Lichte der Rechtsprechung des Europäischen Gerichtshof und des Bundesarbeitsgericht weiterhin für anwendbar hält.

Fazit

Der aktuelle Tätigkeitsbericht enthält eine Vielzahl spannender und teilweise auch kurioser Fallgestaltungen (Stichwort Hasenstallfall (Ziff. 6.1.3.1). Neben den dargestellten Berichten und Fällen widmet sich die Aufsicht auch wieder dem Thema Videoüberwachung, u.a. an Tiefgaragenausfahrten (Ziff. 2.2.5), im Fitnessstudio (Ziff. 2.26), zum Schutz von Warenautomaten (Ziff. 2.2.7) und in einer Flüchtlingsunterkunft (Ziff. 2.2.8) sowie der Verarbeitung von Daten Minderjähriger, bspw. bei der Aufnahme von Videobildern bei Fußballspielen im Kinder- und Jugendbereich mithilfe von Kameradrohnen zur taktischen Auswertung (Ziff. 2.3.6). Spannend ist zudem der Fall des Telepräsenz-Avatars im Unterricht (Ziff. 2.2.9). Ein Blick in den Bericht lohnt sich daher allemal.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am vergangenen Samstag, den 18. Januar 2025 ist überraschend Prof. Dr. Taeger im Alter von 70 Jahren verstorben. Er war auf dem Gebiet des IT-Rechts sowie des Datenschutzrechtes ein herausragender und hochgeschätzter Wissenschaftler. Jürgen Taeger hat auf diesen Rechtsgebieten zahlreiche wissenschaftliche Beiträge jeglicher Art veröffentlicht und somit Maßgeblich die Entwicklung des IT- und Datenschutzrechtes mitgeprägt. Viele bezeichnen Ihn zu Recht als Pionier und Vordenker. Er war unter anderem Mitherausgeber von Schriftenreihen im OlWIR Verlag sowie im Nomos Verlag und zahlreicher Zeitschriften. Diese Aufzählung kann selbstverständlich beliebig lang fortgesetzt werden. So gehört beispielsweise der Kommentar Taeger/Gabel im Verlag Recht und Wirtschaft mit Sicherheit zum Handwerkszeug vieler Datenschützer.

Unvergessen bleibt auch sein Wirken an der Schnittstelle Recht und Informatik und damit auch seine Tätigkeiten und sein Engagement in der Deutschen Gesellschaft für Recht und Informatik (DGRI) und der Deutschen Stiftung für Recht und Informatik (DSRI). Die DSRI hat sich Förderung der universitären und beruflichen Ausbildung von Juristen und Informatikern zur Aufgabe gemacht, die sich mit Fragen des Informationsrechts und der Rechtsinformatik auseinandersetzen wollen. Die jährlich von der DSRI veranstaltete Herbstakademie gehört zu den bedeutendsten Veranstaltungen auf dem Gebiet des IT- und Informationsrechts.

Ab 1996 war Prof. Dr. Jürgen Taeger Inhaber des Lehrstuhls für Bürgerliches Recht, Handels- und Wirtschaftsrecht sowie Rechtsinformatik an der Carl von Ossietzky Universität Oldenburg. Von 2003 bis 2009 war er zudem Direktor des Center für Lebenslanges Lernen (C3L) der Universität. Bis 2023 leitete er dort den juristischen berufsbegleitenden Masterstudiengang Informationsrecht (LL.M.). Ich persönlich durfte Prof. Dr. Jürgen Taeger im Rahmen meines Studiums am C3L kennenlernen. Sowohl in den besuchten Modulen des LL.M. als auch bei der Betreuung der Masterarbeit hatte ich die Ehre zu erfahren welch außergewöhnlicher Mensch er war. Ein großartiger Professor und Mentor. Es war mir eine Freude und ein Privileg in diesen Genuss kommen zu dürfen.

Prof. Dr. Jürgen Taeger hinterlässt eine Frau und drei Kinder. Unsere Gedanken und unser Mitgefühl sind in diesen Tagen allem voran bei seiner Familie.

In stillem Gedenken.

Das Team des Dresdner Institut für Datenschutz

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

„Nichts ist beständiger als der Wandel“ wusste bereits Heraklit von Ephesus vor rund 2.500 Jahren. Nichts anderes gilt heute im Bereich des Datenschutzrechts unter Berücksichtigung der zahlreichen Urteile unterschiedlichster Gerichte, Stellungnahmen diverser Aufsichtsbehörden und Veröffentlichungen in der (Fach-)Literatur. Im Rahmen dieses Blog-Beitrags wollen wir Ihnen einige – aus unserer Sicht – empfehlenswerte Informationsquellen rund um das Thema Datenschutz vorstellen.

Fachzeitschriften

• Zeitschrift für Datenschutz (ZD), Verlag C. H. Beck: Monatlich erscheinende juristische Fachzeitschrift zu aktuellen Themen und relevanter Rechtsprechung.
• Datenschutz und Datensicherheit (DuD), Springer Fachmedien: Monatlich erscheinende Fachzeitschrift mit einer gelungenen Mischung aus juristischen und technischen Themenbereichen.
• Datenschutz-Berater (DSB), dfv Mediengruppe: Monatlich erscheinende praxisorientierte Fachzeitschrift für betriebliche Datenschutzbeauftragte.

Blogs

• Virtuelles Datenschutzbüro, diverse Aufsichtsbehörden: Informationsangebot der öffentlichen Datenschutzinstanzen mit aktuellen Meldungen und Hinweisen.
• Datenschutz-Notizen, DSN Holding: Täglich erscheinende Beiträge zu aktuellen datenschutzrechtlichen Themen und Problemstellungen.
• Dr. Datenschutz, Intersoft Consulting Services: Täglich erscheinende Beiträge zu aktuellen Themen in den Bereichen des Datenschutzes und der Informationssicherheit.
• Rechts-News: Datenschutzrecht, Kanzlei Dr. Bahr: Zusammenfassung aktueller Urteile mit wertvollen Hinweisen zu den jeweiligen Themen.
• News & Blog, Piltz Legal: Unregelmäßig erscheinende Beiträge zu aktuellen Urteilen und rechtlichen Aspekten, insbesondere in Bezug zu datenschutzrechtlichen Themenfeldern.
• News, Reusch Law: Rechtliche Updates für Industrie-, Technologie- und Handelsunternehmen, insbesondere in den Bereichen IT-Recht, Cybersecurity und Datenschutz.

Podcasts

• Auslegungssache, c’t/Heise Medien: Das Bußgeld der Woche, aktuelle Themen, spannende Gäste – dies bietet der Datenschutz-Podcast Auslegungssache alle zwei Wochen mit einer neuen Folge.
• Datenschutzrecht, Verlag Dr. Otto Schmidt: Datenschutz-Experten und -Expertinnen sprechen über aktuelle Entwicklungen und Alltagsthemen im Bereich des Datenschutzrechts.
• Dr. Datenschutz, Intersoft Consulting Services: Monatlich erscheinender Einblick in aktuelle und besonders praxisrelevante Themen mit lockerer Moderation.

Internetseiten

• Europäischer Datenschutzausschuss (EDSA): Aktuelle Nachrichten und Veröffentlichungen der europäischen Einrichtung mit dem Ziel einer einheitlichen Anwendung der Datenschutz-Grundverordnung.
• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): Aktuelle Pressemitteilungen und Veröffentlichungen des Bundesbeauftragten sowie datenschutzrelevante Termine.
• Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK): Anwendungshinweise, Entschließungen und Orientierungshilfen der Datenschutzkonferenz.
• Zentralarchiv der Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz (ZAfTDa): Sammlung der seit 1971 erschienen Tätigkeitsberichte der Bundes- und Landesdatenschutzbeauftragten sowie weiterer Aufsichtsbehörden für den Datenschutz.
• Stiftung Datenschutz: Unabhängige Einrichtung zur Förderung des Datenschutzes mit zahlreichen Veranstaltungsangeboten sowie Veröffentlichungen sowie Hilfestellungen für Kleinunternehmen und Vereine.
• Data Protection Laws of the World (DLA Piper): Überblick über die datenschutzrechtliche Gesetzgebung in anderen Ländern der Welt.

Haben wir eine wichtige und empfehlenswerte Anlaufstelle für datenschutzrechtliche Themen vergessen? Schreiben Sie uns gern!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Vielerorts ist derzeit von einer Verrechtlichung der IT-Sicherheit oder dem neuen Cybersicherheitsrecht der Europäischen Union zu lesen. Insbesondere die NIS-2-Richtlinie und der Cyber Resilience Act sind in aller Munde und lösen zuweilen bei manchen Leitungsorgangen – vermutlich zu Recht – Schweißausbrüche aus. Bereits an dieser Stelle kann man sich aber durchaus fragen: In welchem Rechtsgebiet bewegen wir uns eigentlich? Wer genauer hinschaut fragt sich vielleicht auch: Was ist eigentlich der Unterschied zwischen IT-Sicherheit und Cybersicherheit? Gibt es denn überhaupt einen Unterschied? Und was hat das alles mit Informationssicherheit und Datenschutz zu tun? Im Nachfolgenden Beitrag sollen die unterschiedlichen Begrifflichkeiten einmal genauer betrachtet werden.

Was ist was?

Im Wesentlichen lassen sich fünf zentrale Begriffe unterscheiden: Informationssicherheit, IT-Sicherheit, Cybersicherheit sowie Datenschutz und Datensicherheit.

Die Informationssicherheit kann und sollte hierbei als genereller Oberbegriff verstanden werden. Mit Blick ins Gesetz bietet § 2 Abs. 2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) Hilfe. Hiernach ist unter Sicherheit in der Informationstechnik (im Sinne des BSIG) die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen in informationstechnischen Systemen, Komponenten oder Prozessen oder bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen zu verstehen.

Zur Beschreibung und Abgrenzung der Informationssicherheit ist mittlerweile weitgehend der Ansatz verbreitet, die Näherung durch eine Beschreibung anhand generischer Schutzziele, zu denen in aller erster Linie die Vertraulichkeit, die Integrität und die Verfügbarkeit zu zählen sind, vorzunehmen. Die Informationssicherheit befasst sich demnach mit der Sicherheit von in Daten enthaltenen Informationen vor unbefugter Offenlegung, Übermittlung, Veränderung und/oder Zerstörung – unabhängig davon, ob die in den Daten enthaltenen Informationen einen Personenbezug aufweisen und ob die Informationen digital oder analog verarbeitet werden. Die Informationssicherheit findet daher gleichwohl Anwendung für das betriebliche bzw. dienstliche Gedankengut der Beschäftigten einer Institution.

Weiterhin bestehen bei der Informationssicherheit in Abgrenzung zu den Begriffen des Datenschutzes und der Datensicherheit sowie der IT-Sicherheit und Cybersicherheit einige Überschneidungen, denen wir nun nachgehen wollen.

Die IT-Sicherheit speziell adressiert die Sicherheit von IT-Systemen. Von einem normativen Ansatzpunkt umfasst IT-Sicherheit den Schutz von Daten in Information- und Kommunikationssystemen vor Verlust oder Zerstörung, verursacht durch vorsätzliche oder nicht vorsätzliche Handlungen von Unbefugten. IT-Sicherheit und Informationssicherheit können einander bedingen, soweit eine digitale Datenverarbeitung erfolgt. Die rechtlichen Verpflichtungen zur Herstellung bzw. Aufrechterhaltung von IT-Sicherheit sind mittlerweile vielfältig. Hinsichtlich bestimmter Produkte oder Sektoren ergeben sich die einzuhaltenden IT-Sicherheitspflichten aus verschiedenen nationalen und internationalen spezialgesetzlichen Regelungen, z.B. §§ 165-169 Telekommunikationsgesetz, § 327 Abs. 3 Nr. 2 Bürgerliches Gesetzbuch, § 11 Energiewirtschaftsgesetz, § 44b Atomgesetz, … .

Unter Cybersicherheit bzw. Cybersecurity kann generell die Sicherheit von Informations- und Datenverarbeitungen im digitalen und vernetzten Raum verstanden werden. Die Unterscheidung zwischen IT-Sicherheit und Cybersicherheit ist insbesondere vor dem Hintergrund der immer weiter voranschreitenden Digitalisierung und Vernetzung nicht immer trennscharf möglich. In der breiten Öffentlichkeit hat sich insbesondere diese Begrifflichkeit zu einer Art Oberbegriff entwickelt, um die allgemeine Sicherheit von Informations- und Kommunikationstechniken zu umschreiben.

Eine gesetzliche Definition liefert unter Umständen Art. 2 Nr. 1 Cybersecurity Act. Danach bezeichnet Cybersicherheit alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen. Weitere gesetzliche Anknüpfungspunkte sind die eingangs bereits erwähnte NIS-2-Richtlinie sowie der Cyber Resilience Act. In diesem Atemzug kann zudem der Digital Resilience Act genannt werden.

Der Datenschutz setzt sich weniger mit der Frage auseinander, wie Informationen physisch geschützt werden können, sondern konzentriert sich vorrangig auf die Voraussetzungen, die an das grundrechtlich gewährleistete Recht auf informationelle Selbstbestimmung anzulegen sind. Hauptanknüpfungspunkt für das Datenschutzrecht bilden die sogenannten personenbezogenen Daten. Unter dem Begriff personenbezogene Daten sind nach Art. 4 Nr. 1 DS-GVO alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare Person (betroffene Person) beziehen. Hierbei muss es sich nicht zwingend um besonders schützenswerte Daten handeln; dem Datenschutz unterliegen auch Informationen, wie zum Beispiel Namen, IP-Adressen sowie Foto- und Videoaufnahmen.

Wie der Begriff der personenbezogenen Daten zu verstehen bzw. auszulegen ist – auch vor dem Hintergrund aktueller Rechtsprechung haben wir hier bereits näher betrachtet. Zentrale Regelungsmaterien des Datenschutzrechtes sind die Datenschutz-Grundverordnung, das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze.

Ein angemessenes Datenschutzniveau setzt stets ebenfalls voraus, dass technische und organisatorische Maßnahmen der Datensicherheit getroffen werden. Mithin adressiert die Datensicherheit in aller erster Linie das Datenschutzrecht soweit der technische und organisatorische Bereich im Mittelpunkt steht. Datensicherheit umfasst die Absicherung gegen unbefugte Offenlegung, Übermittlung, Veränderung und/oder Zerstörung personenbezogener Daten. Gesetzlich verankert ist die Datensicherheit insbesondere in Art. 5 Abs. 1 lit. f), Art. 24, Art. 25 und Art. 32 DS-GVO.

In diesem Zusammenhang ist es auch Gegenstand zahlreicher Diskussionen, dass die in Art. 32 DS-GVO normierte Sicherheit der Verarbeitung aufgrund der Schutzrichtung des Datenschutzrechtes von dem zuvor aufgezeigten Verständnis der IT-Sicherheit zu differenzieren ist. IT-Sicherheit und Datensicherheit bzw. Sicherheit der Verarbeitung sind demnach nicht dasselbe. Eine Unterscheidung der Begrifflichkeiten erscheint zumindest für eine exakte Gesetzesanwendung sowie -auslegung förderlich. 

Was bleibt?

Zunächst lässt sich zunächst feststellen, dass alle Begrifflichkeiten – Informationssicherheit, IT-Sicherheit, Cybersicherheit sowie Datenschutz und Datensicherheit – in Gesamtschau für ein Themengebiet stehen, dass aus Staat und Gesellschaft in der heutigen Welt nicht mehr wegzudenken ist. Hierbei ist nach unserer Ansicht Informationssicherheit als Oberbegriff zu verstehen. Gleiches gilt für Das Recht der Informationssicherheit als umfassendes Rechtsgebiet der zuvor näher beleuchteten Teilgebiete.

Unabhängig davon ist die Relevanz der Materie und mithin auch des Rechtsgebeites nicht länger zu vernachlässigen. Zu einschneidend sind die aktuellen Erfahrungen über steigende Angriffszahlen und Sicherheitsrisken wie jüngst aus dem Lagebericht des Bundesamt für Sicherheit in der Informationstechnik für das Jahr 2023 zu entnehmen ist. 

Fazit

Die Vielzahl gesetzlicher Regelungen im Bereich des Rechtes der Informationssicherheit verhindern zuweilen eine einheitliche juristische Definition der zentralen Sicherheitsbegriffe. Häufig ergeben sich unterschiedliche Begriffsverständnisse aufgrund von unterschiedlichen individuellem Vorverständnis, Beschreibungen der Gegenstandsbereiche oder aufgrund der Abgrenzung zu anderen Begrifflichkeiten. Weder der Gesetzgeber noch die technische Normung und Standardisierung geben einheitliche Begriffe vor.

Diese Vielschichtigkeit macht es nach unserer Ansicht erforderlich, dass Informationssicherheit ganzheitlich betrachtet wird. Nur die Informationssicherheit als Ganzes kann dafür sorgen, dass aus einem vormals noch „Nice-to-have-Aspekt“ ein konkret und insbesondere verbindliches Rechtsgebiet erwächst. Da die rechtliche Regulierung allerdings nicht ohne eine praxisgerechte Umsetzung auskommt, erfordert das Recht der Informationssicherheit zuweilen den bekannten „Blick über den Tellerrand“.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Datenschutz dient allen und muss von (fast) allen umgesetzt werden. Manche (im Folgenden „Datenschützer“) widmen sich der Sache intensiv, auch beruflich. Falls Sie dazu gehören oder künftig dazugehören möchten, sind Sie bei uns gern gesehen.

Über uns (das „Dresdner Institut für Datenschutz“, DID) erfahren Sie vieles hier auf der Internetseite. Wenn Fragen bleiben / entstehen, freuen wir uns über Ihren Anruf (0351/655 772-0) oder eine E-Mail (verwaltung@dids.de).

Als Arbeitgeber würden wir uns ungefähr so beschreiben: Wir beraten zu Datenschutz und Informationssicherheit und wollen dabei sehr hohen Ansprüchen genügen – fachlich (aktuell und „auf der Höhe der Zeit“, mit praxistauglichen und -bewehrten Lösungsvorschlägen, wenn nötig mit wissenschaftlicher Gründlichkeit) und persönlich (integer, vertrauenswürdig und zuverlässig).

Damit dies erreicht werden kann, bieten wir den Mitgliedern im Team:

• eine Einarbeitungszeit, um den Arbeitsstil kennen zu lernen und Kenntnisse zu erwerben / vertiefen. Über Kurzlehrgänge hinausgehend finanzieren und fördern wir z.B. die Ausbildung zur/zum Datenschutzbeauftragten im Lehrgang der GDD (Gesellschaft für Datenschutz und Datensicherheit). Auch danach freuen wir uns über Wissenszuwachs und die Bereitschaft, Lernstrapazen auf sich zu nehmen. Wir tragen Kosten für Aus- und Weiterbildung (im juristischen, technischen und organisatorischen Datenschutz, in der Informationssicherheit, aber auch z.B. im Fremdsprachen-Training).

• Die Spezialisierung auf bestimmte Fachbereiche und Branchen wird gefördert und ist größtenteils durch Sie gestaltbar (Industrie, Wissenschaft/Forschung, Gesundheit und Pflege, kirchliche Einrichtung, behördlicher Datenschutz z.B. für Kommunen und Landesbehörden).

• Fernstudium, Aufbaustudium, Promotion, Referententätigkeit und Lehraufträge, Fachpublikationen: Wir sind nicht nur theoretisch begeistert, sondern versuchen, Ihnen dafür beste Bedingungen zu schaffen, sowohl im Arbeitsumfeld, als auch bei der Zeiteinteilung.

• Arbeitsumfeld: Fachliche Expertise entwickelt sich auch, aber nicht nur aus der praktischen Arbeit, dem täglichen „Training“ an jeweils aktuellen Problemen. Sie haben bei uns Zugriff auf eine sehr gut ausgestattete Spezialbibliothek für Datenschutz-Literatur, auf die einschlägigen Fachzeitschriften und (via Datenbank) Online-Informationen.

• Im Team entstehen neben Veröffentlichungen auch Textmuster für die praktische Arbeit, Datenschutz-Tools und Schulungsunterlagen.

• Der Wissensaustausch im Team erfolgt permanent „auf kurzem Weg“ und „in gemeinsamer Runde“ bei Treffen des ganzen Teams.

Wenn Sie schon bisher im Datenschutz aktiv waren und verantwortliche Stellen betreut haben, setzen wir dies im DID nahtlos fort. Was wir außer Datenschutz und Informationssicherheit auch können: Home-Office, Teilzeit-Tätigkeit, Deutschland-Ticket oder Privatnutzung des Dienstfahrzeugs, flexible Arbeitszeiten … Sagen Sie uns, was Ihnen wichtig ist.

Einiges mehr an Informationen und die nötigen Kontakte finden Sie hier: www.dids.de/jobs. Kommen Sie gern auf uns zu!

Die Anwendung „ChatGPT“ ist derzeit wohl eines der Top-Gesprächsthemen, sowohl im privaten als auch im betrieblichen Umfeld. Kein Wunder, denn die KI kann vieles, wie beispielsweise Ratschläge geben, Fragen beantworten und sogar Hausarbeiten formulieren – was in Zukunft sogar den Einsatz in der Wissenschaft bedeuten könnte. Dabei liefert die KI ihre Antworten in einer nahezu fehlerfreien Sprache. Zum Leidwesen des Lehrpersonals, denn ChatGPT ist bei der Erstellung von Hausarbeiten teilweise so gut, dass die Nutzung kaum nachweisbar ist. Dieser Beitrag widmet sich der neuen und viel diskutierten KI. Insbesondere soll die Frage gestellt werden, ob ChatGPT zu datenschutztechnischen Problemen führen kann. Wir haben uns in diesem Zusammenhang gefragt, wo genau mögliche datenschutzrechtliche Stolperfallen bei der Nutzung liegen könnten.

Datenschutzrechtliche Risiken bei einem Einsatz von ChatGPT

Die Nutzung von ChatGPT, wie auch bei jeder anderen Plattform birgt potenzielle Risiken für den Schutz personenbezogener Daten. Als auf künstlicher Intelligenz basierende Sprachmodell-Plattform sammelt und verarbeitet ChatGPT Informationen von Nutzerinnen und Nutzern, um bessere und personalisierte Dienstleistungen bereitzustellen. Die Risiken hängen von verschiedenen Faktoren ab, einschließlich der Art der gesammelten Informationen, der Art der Verarbeitung, Dauer der Speicherung und der Sicherheitsvorkehrungen.

Eines der größten Risiken ist die Möglichkeit, dass Dritte unbefugten Zugriff auf personenbezogene Daten erhalten. Obwohl ChatGPT Sicherheitsvorkehrungen getroffen hat, um den Zugriff auf personenbezogene Daten zu beschränken, kann keine Plattform vollständig vor Datendiebstahl oder Hacks geschützt werden. Wenn die Daten in die Hände von Hackern geraten, können diese für verschiedene Zwecke missbraucht werden, wie zum Beispiel Identitätsdiebstahl, Betrug oder Erpressung. Ein weiteres Risiko ist die Möglichkeit, dass personenbezogene Daten für kommerzielle Zwecke missbraucht werden. In einigen Fällen können Dritte personenbezogene Daten für Marketingzwecke oder zum Verkauf an andere Unternehmen verwenden. Obwohl ChatGPT versichert, dass personenbezogene Daten nicht an Dritte weitergegeben werden, gibt es keine Garantie, dass diese Informationen nicht dennoch in die falschen Hände geraten.

Ein weiteres Risiko ist die Möglichkeit, dass die Verarbeitung von personenbezogenen Daten zu Fehlern oder Vorurteilen führt. ChatGPT kann aufgrund der Verarbeitung von Informationen Vorurteile oder Diskriminierungen begehen, was dazu führen kann, dass bestimmte Nutzergruppen benachteiligt werden. Schließlich besteht das Risiko, dass personenbezogene Daten gelöscht oder verändert werden. Ein technischer Fehler kann dazu führen, dass personenbezogene Daten versehentlich gelöscht oder verändert werden, was zu erheblichen Problemen führen kann.

Es ist wichtig, dass Nutzerinnen und Nutzer von ChatGPT sich dieser Risiken bewusst sind und die notwendigen Schritte unternehmen, um ihre personenbezogenen Daten zu schützen. Dazu gehört das Lesen der Datenschutzrichtlinien von ChatGPT und das Verständnis, welche Arten von Informationen gesammelt werden. Nutzerinnen und Nutzer sollten auch sicherstellen, dass ihre Passwörter sicher sind und ihre Konten nicht von unbefugten Dritten verwendet werden. Insgesamt ist die Nutzung von ChatGPT relativ sicher, solange Nutzerinnen und Nutzer die notwendigen Vorsichtsmaßnahmen treffen.

Haben Sie es bemerkt?

Vielleicht ist es Ihnen aufgefallen: Der oben dargestellte Text wurde mit sehr kleinen Änderungen von ChatGPT erstellt. Bei der Frage nach der Datenschutzkonformität dachten wir uns, dass wenn die KI wirklich so intelligent ist, ist sie vielleicht die beste Ansprechpartnerin, um dieser Frage auf den Grund zu gehen. Warum fragen wir sie also nicht einfach selbst?

Auch wenn wir dies nicht direkt nachweisen können: Die KI ist vermutlich sehr schlau, denn wenn wir sie in verschiedenen Formulierungen gefragt haben, ob sie nun wirklich DS-GVO-konform ist, hat sie zwar Risiken wie Hacking der Datenbanken und die damit verbundenen potenziellen Konsequenzen aufgezeigt, klang jedoch genau wie fast alle US-amerikanischen Anbieter, die ihr vermeintlich datenschutzkonformen Dienstleistungen in Europa anbieten möchten. Sie betonte stark die von ihr eingesetzten Maßnahmen zur Einhaltung des Datenschutzrechts, indem sie auf die technischen und organisatorischen Maßnahmen hinwies. Dabei hat sie Dinge erwähnt wie: „Wir teilen personenbezogene Daten nur mit Drittanbietern, die sich zur Einhaltung der DS-GVO verpflichtet haben.“ oder „Wir verwenden Technologien wie Verschlüsselung, Zugriffskontrolle und sichere Übertragungsprotokolle, […].“ etc. Allerdings hat ChatGPT so direkt nicht erwähnt, dass personenbezogene Daten auf Servern gespeichert werden, die sich in den USA befinden, sodass US-Behörden jederzeit das Recht haben, auf diese Daten zuzugreifen. Fairerweise müssen wir erwähnen, dass wir diese Informationen auch nicht direkt erfragt haben.

Hinweise für datenschutzkonforme Nutzung bekamen wir im Ansatz dann doch: „ChatGPT sammelt nur personenbezogene Daten, wenn Nutzerinnen und Nutzer diese explizit zur Verfügung stellen.“ Letztendlich kommt es zu großen Teilen auf die Nutzerinnen und Nutzer an, ob und wie die KI datenschutzkonform eingesetzt werden kann. Wenn also personenbezogene Daten von ChatGPT gespeichert werden, könnte dies in erster Linie daran liegen, dass Nutzerinnen und Nutzer Informationen selbst preisgeben.

Weiterhin heißt es: „Wir verwenden Cookies, um Nutzererfahrungen zu verfolgen und zu personalisieren, sammeln jedoch keine personenbezogenen Daten wie Namen, E-Mail-Adressen oder Standortdaten.“ (Ich musste bei der Anmeldung meinen Namen, E-Mail-Adresse und Handynummer eingeben).

Personenbezug minimieren

Da ChatGPT auf dem Vormarsch ist und der Einsatz in naher Zukunft wahrscheinlich ist, haben wir uns Gedanken gemacht, wie man die KI möglichst datenschutzkonform einsetzen kann. ChatGPT funktioniert, indem sie massenhaft Daten und Informationen sammelt, so wie nahezu jede andere KI. Wir schließen uns dem Hinweis von ChatGPT an. Vermeiden Sie bei der Nutzung unbedingt die Nennung jeglicher personenbezogener Daten. Dies gilt für die private und betriebliche Nutzung gleichermaßen.

P.S.: Als ich ChatGPT fragte wer Andreas Nanos ist, hat mir die KI zwar mitgeteilt, dass ihr keine Informationen über diese Person vorliegen, hat mir jedoch angeboten zu versuchen, mehr Informationen zu liefern, wenn ich mehr Details über die betreffende Person geben kann…

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mit der Novellierung des Kaufrechts und der Aufnahme digitaler Produkte in das Bürgerliche Gesetzbuch (BGB) wurden wichtige Schritte in Richtung Rechtsklarheit auf digitalen Märkten unternommen. Trotz dieser tiefgehenden Neuerungen blieben viele Fragen offen. Unter diesen Fragen gehört auch der konkrete Sachmangelbegriff. Im Fokus der Wissenschaft steht bislang die Frage, ob ein Produkt mangelhaft ist, wenn die Nutzung zu einem Verstoß gegen ein Gesetz führt. Dieser Beitrag soll diese Frage aus der Perspektive des Datenschutzrechts beleuchten, da unter Juristen bislang keine Einigkeit darüber herrscht, ob digitale Produkte wie Apps und Clouds als mangelhaft anzusehen sind, wenn diese gegen geltendes Datenschutzrecht verstoßen.

Problemdarstellung

Mit § 327a bis § 327s wurden Regelungen der europäischen Warenkaufrichtlinie (RL 2019/771/EU) und der Richtlinie über die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (RL 2019/770/EU, DID-RL) in nationales Recht umgesetzt. Ziel dieser Regelungen ist die Stärkung des digitalen Binnenmarktes und die Schaffung von mehr Rechtssicherheit. Gleich den physischen oder greifbaren Produkten, die auf dem Markt zum Kauf angeboten werden, haben auch digitale Produkte frei von Sach- und Rechtsmängeln zu sein. Wenn ein digitales Produkt gegen das Datenschutzrecht verstößt, wird die Frage nach dem Vorliegen eines Produktmangels durch § 327e Abs. 2 und 3 BGB beantwortet. Demnach besteht kein Mangel an dem jeweiligen digitalen Produkt, wenn sowohl die subjektiven und objektiven Anforderungen als auch die Anforderungen an die Integration gemäß § 327e Abs. 4 BGB erfüllt sind. 

Digitale Produkte entsprechen nach diesen neuen Regelungen den Anforderungen, wenn sie die von den Vertragsparteien vereinbarte Beschaffenheit aufweisen. Die Ähnlichkeiten zum Mangelbegriff aus dem „traditionellen“ Kaufrecht nach § 434 BGB sind eindeutig. Der neue Mangelbegriff muss also ebenfalls weit ausgelegt werden. Folglich bezeichnet dieser sämtliche Merkmale, die der Sache selbst anhaften können oder sich aus seiner Beziehung zur Umwelt ergeben. Weiterhin muss das digitale Produkt zur vertraglich vorausgesetzten Nutzung geeignet sein, was lediglich bedeutet, dass bei gewöhnlicher Nutzung, die Eignung nicht beeinträchtigt werden darf. Die Messlatte ist jedoch nicht sehr hoch angesetzt, denn das Produkt kann weniger oder gar gänzlich ungeeignet sein, wenn durch die gewöhnliche Nutzung wirtschaftliche Schäden entstehen können, was bei Verletzungen des Datenschutzes durchaus passieren kann.

Erwägungsgrund 48 der DID-RL besagt, dass die europäischen Datenschutzvorschriften hinsichtlich der Verträge für digitale Produkte in vollem Umfang gelten. Hält ein digitales Produkt die datenschutzrechtlichen Grundsätze wie beispielsweise Privacy by Design oder Privacy by Default nicht ein und ergeben sich hieraus negative Konsequenzen, kann dies dazu führen, dass das digitale Produkt die subjektiven und objektiven Anforderungen an die Vertragsmäßigkeit nicht mehr erfüllt. Erwägungsgrund 48 der DID-RL nennt als Beispiel die Möglichkeit, dass ein Mangel vorliegen kann, wenn ein Unternehmer im Vertrag ausdrücklich eine Verpflichtung eingeht, welche eine datenschutzrechtliche Verpflichtung begründet. Das bedeutet, dass in einem solchen Fall, die Einhaltung der Datenschutzvorschriften zum Bestandteil der subjektiven Anforderungen der Vertragsmäßigkeit wird. In einem weiteren Beispielfall, wird explizit die Missachtung von der Datenschutzvorschriften als möglicher Mangel dargestellt, wenn das Produkt dadurch möglicherweise nicht zum vorgesehenen Zweck nutzbar ist.

Fazit

Im Ergebnis kann festgehalten werden, dass seit der Novelle die Einhaltung der datenschutzrechtlichen Regelungen Voraussetzung für die Vertragserfüllung ist. Erwägungsgrund 48 der DID-RL zeigt ein eindeutiges Verhältnis zwischen Datenschutz und dem neuen Kaufrecht. Das bedeutet, dass digitale Produkte mangelhaft sein können, wenn sie durch die gewöhnliche Nutzung gegen europäische Datenschutzvorschriften verstoßen. Das Ergebnis wird durch die nationale Umsetzung in §§ 327 ff. BGB bestätigt. Der Rückgriff auf den Hersteller durch § 327e BGB und der DS-GVO bleibt jedoch schwierig, da sich die Rechte aus einem mangelhaften Produkt durch Datenschutzverstöße weiterhin gegen den Anbieter, welcher meistens Verantwortlicher gem. Art. 4 Nr. 7 DS-GVO ist, richten.

Praxistipp: Bei Erwerb eines digitalen Produktes sollten Sie in jedem Fall darauf achten, dass die Einhaltung der Datenschutzbestimmungen durch die Nutzung des Produktes vertraglich festgehalten ist. Als Käufer haben Sie weitaus mehr Klarheit darüber, an wen Sie sich in einem solchen Fall wenden können und auf welcher rechtlichen Basis. Zudem besteht für Sie die Gewissheit, dass Ihnen als natürliche Person nicht nur die Betroffenenrechte aus Artt. 12 ff. DS-GVO zustehen, sondern auch die aus dem Kaufrecht.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die steigende Bedeutung von Datenschutz und IT-Sicherheit für die Wirtschaft sind spätestens seit dem Wirkungsbeginn der Datenschutz-Grundverordnung (DS-GVO) auch im Bereich der Landwirtschaft und dem Agribusiness deutlich spürbar. Im Rahmen des letzten Network Digital Livestock (NDL) Digital Agribusiness Leader Workshop wurde der Schutz personenbezogener Daten als Erfolgsfaktor fürs Agribusiness der Zukunft beleuchtet. Einer Kurzdarstellung der wesentlichen Inhalte des Whitepapers widmet sich der nachfolgende Beitrag.

WELCHE PERSONENBEZOGENEN DATEN GIBT ES IM AGRIBUSINESS?

Gemäß Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Die DSGVO geht in für die personenbezogene Daten zugrunde liegenden Informationen von einem sehr weiten, weil unbeschränkten Verständnis des Informationsbegriffs aus. Erfasst werden bekanntlich alle Informationen aus denen unmittelbar die Identität einer natürlichen Person hervorgeht, aber auch solche Angaben durch die allein die Identifizierung (also die Wiedererkennung) zwar selbst nicht unmittelbar möglich ist, eine entsprechende Identifizierung aber mittels Verknüpfung mit weiteren Informationen hergestellt werden kann. Personenbezogener Daten in der Fütterungsberatung können Futteranalysen, Rationen, MLP und Melkdaten, Kontaktdaten, Gesprächsnotizen und Nachrichten, Bestellhistorien und viele mehr sein. Wichtig ist eine exakte Differenzierung. Nicht all zu selten werden personenbezogene Daten mit den für Unternehmen sensiblen Daten gleichgesetzt. Dies ist allerdings nicht immer zutreffend.

WELCHE GRUNDSÄTZE GELTEN FÜR DIE DATENVERARBEITUNG?

Die DS-GVO enthält in Art. 5 Abs. 1 Grundsätze für die Verarbeitung personenbezogener Daten, an denen sich jeder Datenverarbeitungsvorgang messen lassen muss. Zu diesen Grundsätzen zählen Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.

Dies bedeutet u.a., dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und grundsätzlich nicht für andere Zwecke weiterverarbeitet werden dürfen. Außerdem dürfen nicht mehr personenbezogene Daten erhoben und verarbeitet werden als es für den bestimmten Zweck notwendig und rechtlich zulässig ist. Ist der Zweck der Datenverarbeitung entfallen, dürfen personenbezogene Daten nicht mehr verarbeitet werden. Danach dürfen Sie allenfalls für den Zeitraum von gesetzlich vorgeschriebenen Aufbewahrungspflichten – von den Daten, die noch genutzt werden dürfen, getrennt – gespeichert oder aufbewahrt werden.

Weiter müssen personenbezogene Daten so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Hierzu wurden geeignete technische und organisatorische Maßnahmen ergriffen, die zwingend einzuhalten sind. Der aktuelle Ransomware-Angriff auf AGCO-Werke zeigt anschaulich, welche Auswirkungen derartige Bedrohungen haben können. So führte der Angriff auf den Mutterkonzern auch bei dem Landtechnik-Hersteller Fendt zu einem Produktionsstillstand.

WIE WIRD DIE EINHALTUNG DER DATENSCHUTZRECHTLICHEN BESTIMMUNGEN KONTROLLIERT?

Die Einhaltung der datenschutzrechtlichen Bestimmungen wird dreifach kontrolliert:

– Selbstkontrolle (Datenschutzorganisation der verantwortlichen Stelle): Die verantwortliche Stelle trägt dafür Sorge, dass die Abläufe im Unternehmen vollumfänglich den datenschutzrechtlichen Anforderungen entsprechen sowie die technischen und organisatorischen Maßnahmen für die Gewährleistung eines dem Schutzbedarf der verarbeiteten personenbezogenen Daten angemessenen Datenschutzniveaus zur Verfügung stehen. Hierfür hat sie in bestimmten Fällen einen betrieblichen Datenschutzbeauftragten zu bestellen. Weiterhin muss sie u.a. dafür Sorge tragen, dass alle Beschäftigten des Unternehmens zum richtigen Umgang mit personenbezogenen Daten geschult werden.

– Eigenkontrolle (betroffene Personen üben ihre Rechte aus): Einer betroffenen Person (die natürliche Person, deren personenbezogene Daten durch die verantwortliche telle verarbeitet werden) stehen die in den Art. 12 bis Art. 22 DS-GVO niedergelten Rechte zu. Neben dem Recht auf Löschung personenbezogener Daten (Art. 17 DS-GVO) stellt das Auskunftsrecht (Art. 15 DS-GVO) das in der Praxis wohl relevanteste Betroffenenrecht dar. Jede betroffene Person kann Auskunft über die Verarbeitung ihrer personenbezogenen Daten verlangen. Gegebenenfalls ist der betroffenen Person hierfür eine Kopie ihrer personenbezogenen Daten bereitzustellen, wobei dies jedoch nicht die Rechte von anderen Personen beeinträchtigen darf. Werden innerhalb der verantwortlichen Stelle keine personenbezogenen Daten der auskunftsbegehrenden Person verarbeitet, ist auch dies der betroffenen Person mitzuteilen. Außerdem steht betroffenen Person gemäß Art. 77 DS-GVO ein Recht zur Beschwerde bei einer Datenschutzaufsichtsbehörde zu, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt. Darüber hinaus besteht die Möglichkeit nach Art. 82 DS-GVO zivilrechtliche Schadenersatz Ansprüche geltend zu machen.

– Fremdkontrolle (staatliche Kontrolle): Verstöße gegen datenschutzrechtliche Bestimmungen können strafrechtliche Sanktionen nach sich ziehen und sind zudem gemäß Art. 83 und Art. 84 DS-GVO bußgeldbewährt und können mithin von der jeweils zuständigen Datenschutzaufsichtsbehörde in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sanktioniert werden.

FAZIT

Die Einhaltung und Umsetzung der datenschutzrechtlichen Bestimmungen macht auch vor der Landwirtschaft bzw. dem Agribusiness keinen Halt. Um betroffenen verantwortlichen Stellen eine Hilfestellung zu geben, ist der Download eines Whitepapers auf der Seite des NDL in Deutsch und Englisch möglich.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mit Wirkung zum 1. Januar 2022 wird das deutsche Schuldrecht im Bürgerlichen Gesetzbuch (BGB) grundlegend reformiert. Es handelt sich um die größte Gesetzesänderung seit der Schuldrechtsmodernisierung 2001. Die Änderungen betreffen unter anderem die verbraucherschützenden Regelungen der §§ 327 ff. BGB. Darüber hinaus erfolgen Neuerungen im Kauf-, im Verbrauchsgüterkauf-, im Schenkungs-, im Miet- und Werkvertragsrecht. Der Beitrag zeigt vorrangig einige Auswirkungen der §§ 327 ff. BGB auf die Bereiche des Datenschutzes und der IT-Sicherheit.

WORUM GEHT ES?

Durch die Richtlinien (EU) 2019/770 vom 20. Mai 2019 (Digitale-Inhalte-Richtlinie, kurz: DIRL) und (EU) 2019/771 (Warenkaufrichtlinie) sowie dem damit verbundenen nationalen Umsetzungsgesetz erfolgt ab dem 1. Januar 2022 eine weitreichende Änderung des Bürgerlichen Gesetzbuches, zum einen hinsichtlich des Verbraucherschutzrechtes bei Verträgen über die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen und zum anderen bezüglich des Kaufs von Sachen mit digitalen Elementen. Die neuen Regelungen enthalten unter anderem Änderungen des Mangelbegriffs im Zivilrecht, eine Updateverpflichtung für Unternehmen und eine verlängerte Frist für die Beweislastumkehr. Adressat der Regelungen sind alle Unternehmen, die digitale Inhalte, digitale Dienstleistungen oder Waren mit digitalen Elementen bereitstellen. Zentralen Vertragsgegenstand der §§ 327 ff. BGB bilden die sogenannten „digitalen Produkte“, welche nach der Legaldefinition des § 327 Abs. 1 Satz 1 BGB digitale Inhalte und digitale Dienstleistungen erfassen. Vom Anwendungsbereich umfasst werden gemäß Erwägungsgrund 19 DIRL u.a. Computerprogramme, Anwendungen, Video-, Audio- und Musikdateien, digitale Spiele, elektronische Bücher und Publikationen. Beispiele für digitale Dienstleistungen sind Software-as-a-Service, wie die gemeinsame Nutzung von Video- und Audioinhalten und andere Formen des Datei-Hosting, Textverarbeitung oder Spie-le, in einer Cloud-Computing-Umgebung und in sozialen Medien.

WELCHEN HINTERGRUND HABEN DIE GESETZLICHEN NEUREGELUNGEN?

Durch die stetig voranschreitende Digitalisierung kommt es zu einer immer größeren Durchdringung nahezu sämtlicher Lebensbereiche mit Informations- und Kommunikationstechnik. Die Nutzung digitaler Inhalte und digitaler Dienstleistungen ist deshalb aus dem Verbraucheralltag nicht mehr wegzudenken.  Digitalisierung und Vernetzung bringen jedoch zugleich neue Risiken – beispielsweise durch Sicherheitslücken – mit sich. Trotz dieses Schutzbedürfnisses einerseits und der rasanten technischen Entwicklung anderseits waren Regelungen zu vertraglichen Aspekten über die Bereitstellung digitaler Produkte bisher rar gesät. Vorrangiges Ziel der Gesetzesänderung ist daher die Schaffung von Rechtssicherheit für den Verbrauchersektor.

WELCHE AUSWIRKUNGEN BRINGT DIE GESETZESÄNDERUNG FÜR DEN DATENSCHUTZ?

Besonders offensichtlich tritt der datenschutzrechtliche Bezug in § 327 Abs. 3 BGB hervor. Der Anwendungsbereich der §§ 327 ff. BGB erfasst grundsätzlich zwar nur Verträge, die die Zahlung eines Preises zum Gegenstand haben. Entgeltlichen Verträgen werden jedoch gemäß § 327 Abs. 3 BGB solche Verträge gleichgestellt „[…] bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich zu deren Bereitstellung verpflichtet […]“. Der Begriff der personenbezogenen Daten ist hierbei ausweislich der Gesetzesbegründung gleich der Begriffsbestimmung in Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO) zu verstehen. Damit ist nunmehr ein „Bezahlen mit Daten“ im dem Sinne erfasst, dass Verbraucher:innen dem Unternehmen personenbezogene Daten überlassen, die weder zur Vertragserfüllung noch aufgrund rechtlicher Verpflichtungen verarbeitet werden müssen. Gleichwohl kommt damit nicht zum Ausdruck, dass jede Datenangabe durch die Verbraucher:innen beziehungsweise jede Datenerhebung durch Unternehmen einen vertrag begründet. Angesichts zahlreicher „kostenfreier“ Dienste stellt dies eine besonders wichtige Neuregelung dar.

Ebenfalls kann das Datenschutzrecht im Rahmen der Mangelhaftigkeit zum Tragen kommen. Dies lässt sich insbesondere anhand von Erwägungsgrund 48 DIRL nachvollziehen: Erfolgt hier eine ausdrückliche Bezugnahme auf wesentliche Grundsätze der DS-GVO wie Datenminimierung, Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie die Klarstellung, dass bei Nichteinhaltung dieser Grundsätze je nach Umständen des Einzelfalls, dies als fehelende Übereinstimmung mit den subjektiven oder objektiven Anforderungen an die Vertragsmäßigkeit betrachtet werden kann.

Von datenschutzrechtlicher Relevanz ist zudem die Regelung des § 327q Abs. 1 BGB. Hier wird das Verhältnis zwischen der Ausübung datenschutzrechtlicher Betroffenenrechte beziehungsweise Abgabe datenschutzrechtlicher Erklärungen einerseits und der Bestand des Vertragsverhältnisses andererseits in den Blick genommen: „Die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss lassen die Wirksamkeit des Vertrags unberührt.“ Konsequenter Weise zur Erreichung einer Stärkung des Verbraucherschutzes zeigt die Ausübung von Betroffenenrechten kaum Auswirkungen auf die vertragliche Position der Verbraucher:innen. Allein nach § 327q Abs. 2 BGB bei der Ausübung eines Widerrufes oder Widerspruchs kann ein Sonderkündigungsrecht im Rahmen von Dauerschuldverhältnissen seitens der Unternehmer ergeben.

WELCHE ROLLE SPIELT IT-SICHERHEIT BEI DIGITALEN PRODUKTEN?

Im Zuge der gesetzlichen Neuregelung erfolgt in § 327e Abs. 3 Nr. 2 BGB die Normierung eines Sicherheitsbegriffs. Gleichwohl ist dieser Begriff wegen eines fehlenden Bezugs zu informationstechnischen Systemen und Prozessen auslegungsbedürftig. Dies führt bei genauer Auseinandersetzung jedoch zu einigen Schwierigkeiten. In der Gesetzgebung sowie der technischen Normung und Standardisierung und der damit verbundenen Anwendungspraxis erfolgt keine einheitliche Begriffsführung von IT-Sicherheit. Insbesondere aber eine unionsrechtskonforme Auslegung gebietet jedoch Sicherheit in § 327e Abs. 3 Nr. 2 BGB als „security“ und damit im deutschen Sprachgebrauch als IT-Sicherheit zu verstehen. Auch in den Erwägungsgründen der Digitale-Inhalte-Richtlinie – hier insbesondere Erwägungsgrund 48 DIRL – finden sich Anknüpfungspunkte für Bezugnahme zur IT-Sicherheit, beispielsweise Anfälligkeit von Produkten für Schad- und Spähsoftware.

Durch die wesentliche Änderung des Mangelbegriffs erfolgt zudem eine weitgehende Gleichstellung zwischen subjektiven und objektiven Beschaffenheitsanforderungen, weshalb digitale Produkte zukünftig einen Mindeststandard an IT-Sicherheit aufweisen müssen. Problematisch gestaltet sich hierbei allerdings mit Blick auf den Wortlaut des § 327e Abs. 3 Nr. 2 BGB („Das digitale Produkt entspricht den objektiven Anforderungen, wenn es eine Beschaffenheit, einschließlich der […] der Sicherheit aufweist, die bei digitalen Produkten derselben Art üblich ist und die der Verbraucher unter Berücksichtigung der Art des digitalen Produkts erwarten kann […]“) die Frage, was mangels einheitlicher europäischer Standards unter üblich und erwartbaren Sicherheitsanforderungen zu verstehen sein wird.

Flankiert werden die oben genannten Anforderungen durch die in § 327f BGB normierte Aktualisierungspflicht, welche ausweislich des eindeutigen Wortlautes auch Sicherheitsaktualisierungen zu den erforderlichen Updates zählt. Auf diese Art und Weise soll dem Verbraucher für einen angemessenen Zeitraum der Erhalt der Vertragsmäßigkeit des digitalen Produktes durch den Unternehmer sichergestellt werden. Dies kann zu einer nachhaltigen Steigerung der IT-Sicherheit digitaler Produkte führen.

Nicht außer Acht gelassen werden darf in diesem Zusammenhang schließlich § 327h BGB, welcher die Möglichkeit eröffnet, durch individuelle Vereinbarung von den objektiven Beschaffenheitsvereinbarungen, so gesehen den Sicherheitsanforderungen und Aktualisierungspflichten, unter bestimmten Voraussetzungen durch individuelle Vereinbarung abzuweichen.

FAZIT

Es bleibt daher festzuhalten, dass durch die gesetzlichen Neuregelungen der §§ 327 ff. BGB auch eine verbraucherschützende Regulierung zur Sicherheit informationstechnischer Systeme erfolgt. Darüber hinaus finden sich Regelungen mit datenschutzrechtlichem Bezug, welche die bereit gängige Praxis entsprechend widerspiegeln. Dennoch dürften mit den neuen Regelungen vom Start weg zahlreiche Rechtsunsicherheiten verbunden sein.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Zu Beginn des neuen Jahres möchten wir unseren Blog-Lesern zuallererst ein frohes und gesundes neues Jahr wünschen! Wir freuen uns, Ihnen auch in diesem Jahr in unseren wöchentlichen Beiträgen eine Übersicht über aktuelle und wichtige Themen aus den Bereichen des Datenschutzes und der Informationssicherheit bieten zu können. Möchten Sie zu einzelnen Beiträgen Fragen oder Feedback äußern? Haben Sie Vorschläge für interessante Beiträge? Zögern Sie nicht, die jeweiligen Verfassenden zu anzusprechen. Die Kontaktmöglichkeiten erfahren Sie am Ende eines jeden Beitrages.

Diesen ersten Beitrag im Jahr 2022 möchten wir ebenfalls gern nutzen, um in eigener Sache auf das Thema Datenschutz beziehungsweise Informationssicherheit und Qualitätsmanagement aufmerksam zu machen. Einerseits bieten diese Bereiche in ihrer Gesamtheit einzelne Berührungspunkte zueinander, andererseits bedarf auch die Arbeit von Datenschutz- und Informationssicherheitsbeauftragten bestimmten Leistungs- und Qualitätsstandards, um die jeweils gesetzlich definierten Aufgaben vollumfänglich erfüllen zu können.

Auch wenn beispielsweise die Datenschutz-Grundverordnung (DS-GVO) keine näheren Anforderungen an die Qualität der Arbeit des Datenschutzbeauftragten setzt, wird insbesondere in der Darstellung des Art. 37 Abs. 5 DS-GVO deutlich, dass ein Datenschutzbeauftragter sowohl auf Grundlage seiner beruflichen Qualifikation und seines Fachwissens im Bereich des Datenschutzrechts und der Datenschutzpraxis, aber auch auf Grundlage seiner Fähigkeiten zur Erfüllung der in Art. 39 DS-GVO benannten Aufgaben zu benennen ist. Aus dem Aufgabenkatalog des Art. 39 DS-GVO wird deutlich, dass im besten Falle nicht nur die verantwortliche Stelle ein Datenschutzmanagementsystem vorweisen kann, sondern dass auch der Datenschutzbeauftragte strukturiert und koordiniert die einzelnen Aufgabenbereiche zu managen und durchzuführen hat. Dies gilt umso mehr für externe Datenschutzbeauftragte, die oftmals eine Vielzahl von verantwortlichen Stellen beraten.

Aus diesem Grund haben wir als Dresdner Institut für Datenschutz das vergangene Jahr genutzt, um unsere Beratungs- und Lehrtätigkeit in den Bereichen des Datenschutzes und der Informationssicherheit einmal näher zu betrachten, essenzielle Prozesse zu identifizieren sowie Verbesserungspotenzial zu erkennen und auszuschöpfen. Ein wichtiger Baustein war in diesem Zusammenhang beispielsweise die Befragung unserer Vertragsparteien im Sommer 2021 hinsichtlich der Zufriedenheit mit unseren Dienstleistungen. Unter anderem diese Ergebnisse flossen in ein umfassendes Qualitätsmanagementsystem ein, welches wir im letzten Quartal des vergangenen Jahres einer externen Auditierung unterzogen. Das Ergebnis kann sich sehen lassen: Unser Qualitätsmanagement für die Beratung und Lehrtätigkeit in den Bereichen Datenschutz und Informationssicherheit ist nun zunächst bis 2024 nach ISO 9001:2015 zertifiziert.

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Den ersten Termin  unserer Online-Sprechstunde erfahren Sie bereits in den nächsten Tagen auf unserer Internetseite www.dids.de. Dort erhalten Sie dann auch die Möglichkeit zur Anmeldung sowie weiterführende Hinweise.

Auch darüber hinaus haben wir für Sie einige weitere Überraschungen vorbereitet, welche wir Ihnen nach und nach im Laufe des Jahres vorstellen wollen oder welche Ihnen hier in unserem Blog begegnen werden. Seien Sie gespannt! In diesem Sinne: Starten Sie gut in das neue Jahr und bleiben Sie stets neugierig – insbesondere natürlich in Bezug auf die Themen Datenschutz und Informationssicherheit!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.