Umgang mit Auskunftsersuchen nach DSGVO: Neues EuGH-Urteil hilft Unternehmen

Posted on 19. März 202630. März 2026 by Christian Klos

Ein neues EuGH-Urteil können Unternehmen nutzen, um sich gegen „exzessive“ datenschutzrechtliche Auskunftsverlangen zu wehren.

Hintergrund: Auskunftsersuchen als Druckmittel

Oft nutzen Betroffene die Möglichkeiten der DSGVO, um Verantwortlichen Aufwand zu verursachen und Schadensersatz wegen marginalen formalen (vermeintlichen) Rechtsverstößen geltend zu machen. Besonders zu beobachten ist dies etwa bei der Auflösung von Arbeitsverhältnissen. Hier gehört es fast schon zum Standard, dass ein Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht wird, um mehr Verhandlungsdruck aufzubauen. Aber auch verärgerte Kunden ziehen gerne diese Karte, um ihrem anderweit entspringenden Unmut Luft zu machen. Zusätzlich gibt es Fälle, die gezielt auf die Geltendmachung von Schadensersatz ausgerichtet sind.

Um die Wahrung der Datenschutzrechte der Betroffenen geht es hierbei meist, wenn überhaupt, nur am Rande. Solche Auskunftsersuchen können aber erhebliche Ressourcen bei Unternehmen binden, die anderweitig benötig werden. Verantwortliche Unternehmen müssen grundsätzlich alle personenbezogenen Daten zusammenstellen, welche sie zu der Person des Betroffenen speichern. Je nach Dauer der Geschäftsbeziehung und Umfang der Daten kann dies eine extrem komplexe und zeitfressende Aufgabe sein.

Neues Urteil hilft Unternehmen

Der EuGH hat nun mit seinem Urteil vom 19. März 2026 (Rechtssache C‑526/24) dem Missbrauch dieser Rechtspositionen einen zumindest kleinen Riegel vorgeschoben, der hilfreich sein wird, wenn Unternehmen sich mit derartigen Auskunftsersuchen konfrontiert sehen. Warum und wie, das zeigen wir in diesem Beitrag.

Hintergrund und Sachverhalt

Das Urteil erging auf ein Vorabentscheidungsersuchen des Amtsgerichts Arnsberg (Deutschland) vom 31. Juli 2024 und betrifft die Auslegung mehrerer Bestimmungen der DSGVO, insbesondere Art. 12 Abs. 5, Art. 15 Abs. 1 und Art. 82 Abs. 1.

TC, eine in Österreich wohnhafte Privatperson, meldete sich im März 2023 zum Newsletter der Brillen Rottler GmbH & Co. KG, einem familiengeführten Optikerunternehmen mit Sitz in Arnsberg, an. Dabei übermittelte er personenbezogene Daten über die Anmeldemaske auf der Unternehmenswebsite. Nur 13 Tage später stellte TC einen Auskunftsantrag nach Art. 15 DSGVO. Brillen Rottler wies diesen Antrag innerhalb der gesetzlichen Monatsfrist als missbräuchlich im Sinne von Art. 12 Abs. 5 DSGVO zurück und forderte TC auf, endgültig von seinem Antrag abzusehen.

TC verfolgte seinen Antrag weiter und machte zusätzlich einen Schadensersatzanspruch in Höhe von 1.000 Euro aus Art. 82 DSGVO geltend. Daraufhin erhob Brillen Rottler eine negative Feststellungsklage beim Amtsgericht Arnsberg mit dem Antrag festzustellen, dass TC kein Schadensersatzanspruch zustehe. Brillen Rottler stützte sich darauf, dass aus Medienberichten, Blogbeiträgen und Anwaltsberichten hervorgehe, dass TC systematisch und rechtsmissbräuchlich Auskunftsanträge stelle – stets nach demselben Muster: Newsletter-Anmeldung, dann Auskunftsantrag, dann Schadensersatzforderung.

TC erhob Widerklage auf Zahlung von mindestens 1.000 Euro immateriellen Schadensersatz wegen der Weigerung des Unternehmens, ihm Auskunft über seine personenbezogenen Daten zu erteilen.

Vorlagefragen

Das Amtsgericht Arnsberg legte dem EuGH acht Fragen vor, die sich in drei Themenkomplexe gliedern lassen:

Fragen 1–3 und 7 (Exzessivität und Rechtsmissbrauch): Kann ein erster Auskunftsantrag als „exzessiv“ i.S.v. Art. 12 Abs. 5 DSGVO gelten? Können öffentlich zugängliche Informationen über systematisches Vorgehen der betroffenen Person zur Begründung herangezogen werden? Kann der Rechtsmissbrauchseinwand greifen, wenn die betroffene Person die Datenverarbeitung bewusst herbeigeführt hat?
Fragen 4–6 (Schadensersatz und Verarbeitungsbegriff): Stellt ein Auskunftsantrag und/oder dessen Beantwortung eine „Verarbeitung“ i.S.v. Art. 4 Nr. 2 DSGVO dar? Setzt ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zwingend eine Verarbeitung voraus? Besteht ein Schadensersatzanspruch allein aufgrund der Verletzung des Auskunftsrechts?
Frage 8 (Immaterieller Schaden): Stellt der bloße Kontrollverlust über personenbezogene Daten oder die Ungewissheit über eine Verarbeitung einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO dar?

Für Unternehmen besonders relevant sind dabei die unter Punkt 1. genannten Fragen, denn bei Bejahung würde ein wichtiges Instrument an die Hand gegeben, um sich gegen Auskunftsersuchen zu wehren, die sichtlich keinen Bezug zur Wahrnehmung von Datenschutzrechten haben, sondern gänzlich anders motiviert sind.

Entscheidung des Gerichtshofs

1. Zum exzessiven Charakter eines ersten Auskunftsantrags (Fragen 1–3 und 7)

Der EuGH entschied, dass bereits ein erster Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO angesehen werden kann.

Der Gerichtshof stellte klar, dass der Begriff „exzessiv“ etwas bezeichnet, das über das gewöhnliche oder vernünftige Maß hinausgeht. Die bloße Tatsache, dass es sich um einen ersten Antrag handelt, schließt den exzessiven Charakter nicht aus. Der Wortlaut von Art. 12 Abs. 5 DSGVO nennt die „häufige Wiederholung“ lediglich als Beispiel für einen exzessiven Antrag (eingeleitet durch „insbesondere“), erfasst aber auch andere Konstellationen.

Für die Feststellung eines Rechtsmissbrauchs sind zwei Elemente erforderlich:

Objektives Element: Trotz formaler Einhaltung der Bedingungen wird das Ziel der Regelung nicht erreicht. Nach Erwägungsgrund 63 der DSGVO dient das Auskunftsrecht dazu, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Wird der Antrag zu einem anderen Zweck gestellt, fehlt es an der Erreichung dieses Ziels.
Subjektives Element: Nachweis einer Missbrauchsabsicht – die betroffene Person stellt den Antrag nicht zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung, sondern z. B. zur künstlichen Schaffung der Voraussetzungen für die Erlangung von Schadensersatz.

Bei der Beurteilung sind alle Umstände des Einzelfalls zu berücksichtigen, insbesondere:

die freiwillige Bereitstellung der personenbezogenen Daten,
der Zweck der Datenbereitstellung,
die zwischen Datenbereitstellung und Auskunftsantrag verstrichene Zeit (hier nur 13 Tage),
das Verhalten der betroffenen Person insgesamt.

Dabei können auch öffentlich zugängliche Informationen (Medienberichte, Blogbeiträge, Berichte von Rechtsanwälten) berücksichtigt werden, die darauf hindeuten, dass die betroffene Person systematisch nach einem vergleichbaren Muster vorgeht – sofern dies durch weitere relevante Anhaltspunkte bestätigt wird.

Die Beweislast für den exzessiven Charakter liegt allerdings weiterhin beim Verantwortlichen.

2. Schadensersatz auch bei Verletzung des Auskunftsrechts ohne Verarbeitung (Fragen 5 und 6)

Der EuGH entschied, dass Art. 82 Abs. 1 DSGVO der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO entstandenen Schadens verleiht – und zwar auch ohne dass eine Datenverarbeitung als solche vorliegen muss.

Die Begründung stützt sich auf drei Auslegungsmethoden:

Wortlautauslegung: Art. 82 Abs. 1 DSGVO spricht von einem Verstoß „gegen diese Verordnung“ und enthält keine Beschränkung auf Verarbeitungsvorgänge. Diese weit gefasste Formulierung umfasst sämtliche Bestimmungen der DSGVO, einschließlich der Rechte der betroffenen Personen aus Kapitel III.
Systematische Auslegung: Art. 82 DSGVO steht in Kapitel VIII (Rechtsbehelfe, Haftung, Sanktionen), das dem Schutz aller DSGVO-Rechte dient. Die Rechte aus Kapitel III – insbesondere das Auskunftsrecht, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit – können typischerweise nicht durch eine Verarbeitung als solche verletzt werden, sondern durch die Weigerung, dem entsprechenden Antrag nachzukommen. Würde man den Anspruch auf Verarbeitungsschäden beschränken, wären diese Fälle vom Anwendungsbereich ausgeschlossen – was die praktische Wirksamkeit der Norm beeinträchtigen würde (unter Verweis auf die Erklärungen der Europäischen Kommission).
Teleologische Auslegung: Art. 82 DSGVO soll die Ziele der DSGVO verwirklichen, insbesondere die Stärkung der Rechte der betroffenen Personen und die Verschärfung der Verpflichtungen der Verantwortlichen (Erwägungsgrund 11). Das Auskunftsrecht würde erheblich geschwächt, wenn Schadensersatz nur bei rechtswidrigen Verarbeitungsvorgängen möglich wäre.

Der Gerichtshof verwies zudem auf sein Urteil vom 4. Mai 2023 (Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C-60/22), wonach Verstöße gegen die Art. 26 und 30 DSGVO keine „unrechtmäßige Verarbeitung“ darstellen, aber dennoch über Art. 82 DSGVO zu heilen sind.

Da die fünfte und sechste Frage beantwortet wurden, brauchte die vierte Frage (ob ein Auskunftsantrag eine „Verarbeitung“ i.S.v. Art. 4 Nr. 2 darstellt) nicht beantwortet zu werden.

3. Immaterieller Schaden – Kontrollverlust und Ungewissheit (Frage 8)

Der EuGH stellte unter Bestätigung seiner bisherigen Rechtsprechung fest, dass der Verlust der Kontrolle über personenbezogene Daten oder die Ungewissheit über eine Verarbeitung grundsätzlich einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellen kann, formulierte aber wichtige Einschränkungen:

Grundsätze:

Die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“ sind autonome Begriffe des Unionsrechts, die in allen Mitgliedstaaten einheitlich auszulegen sind.
Ein Verstoß gegen die DSGVO begründet nicht automatisch einen Schadensersatzanspruch. Es müssen drei kumulative Voraussetzungen vorliegen: (1) ein Verstoß gegen die DSGVO, (2) ein tatsächlich entstandener Schaden und (3) ein Kausalzusammenhang zwischen Verstoß und Schaden.
Der Schaden kann nicht allein deshalb vermutet werden, weil sich ein Verstoß ereignet hat.

Zum Kontrollverlust:

Aus Erwägungsgrund 85 der DSGVO ergibt sich, dass der Unionsgesetzgeber unter den Schadensbegriff auch den bloßen „Verlust der Kontrolle“ über personenbezogene Daten fassen wollte, selbst wenn keine missbräuchliche Verwendung der Daten erfolgt ist.
Es gibt keine Bagatellgrenze für immateriellen Schaden, aber die betroffene Person muss nachweisen, dass ein tatsächlicher Schaden entstanden ist, der über die bloße Verletzung der DSGVO-Bestimmungen hinausgeht (Urteil vom 14. Dezember 2023, C-456/22).

Zu Befürchtungen und Ungewissheit:

Das bloße Vorbringen einer Befürchtung über eine zukünftige missbräuchliche Verwendung genügt nicht. Das nationale Gericht muss prüfen, ob diese Befürchtung unter den besonderen Umständen als begründet angesehen werden kann.
Diese Erwägungen gelten gleichermaßen für die Ungewissheit darüber, ob personenbezogene Daten verarbeitet wurden.

Zur Unterbrechung des Kausalzusammenhangs:

Besonders praxisrelevant ist die Feststellung des Gerichtshofs, dass der Kausalzusammenhang durch das eigene Verhalten der betroffenen Person unterbrochen werden kann, sofern sich dieses als die entscheidende Ursache für den Schaden erweist.

Konkret bedeutet dies: Wenn der Kontrollverlust oder die Ungewissheit durch die eigene Entscheidung der betroffenen Person herbeigeführt wurde – insbesondere durch die Übermittlung von Daten an den Verantwortlichen in der Absicht, künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen – scheidet ein Ersatzanspruch nach Art. 82 Abs. 1 DSGVO aus.

Zusammenfassung

Der Gerichtshof (Vierte Kammer) entschied kurz gefasst also:

1. Art. 12 Abs. 5 DSGVO ist dahin auszulegen, dass ein erster Auskunftsantrag als „exzessiv“ angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass der Antrag nicht der Überprüfung der Rechtmäßigkeit der Datenverarbeitung diente, sondern in missbräuchlicher Absicht gestellt wurde, etwa zur künstlichen Schaffung der Voraussetzungen für die Erlangung von Schadensersatz. Öffentlich zugängliche Informationen über systematisches Vorgehen der betroffenen Person können bei der Feststellung der missbräuchlichen Absicht berücksichtigt werden.

2. Art. 82 Abs. 1 DSGVO verleiht der betroffenen Person einen Schadensersatzanspruch auch bei Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO – unabhängig davon, ob eine Verarbeitung personenbezogener Daten als solche vorliegt.

3. Der immaterielle Schaden nach Art. 82 Abs. 1 DSGVO kann den Kontrollverlust über personenbezogene Daten oder die Ungewissheit über deren Verarbeitung umfassen, sofern insbesondere nachgewiesen wird, dass der Person tatsächlich ein Schaden entstanden ist und ihr eigenes Verhalten nicht die entscheidende Schadensursache war.

Bedeutung des Urteils für die Praxis

Dieses Urteil ist von erheblicher praktischer Bedeutung für das Datenschutzrecht:

Instrument gegen systematischen Missbrauch: Es schafft Klarheit, dass der Missbrauchseinwand nach Art. 12 Abs. 5 DSGVO auch bei Erstanträgen greifen kann. Verantwortliche erhalten damit ein wirksames Instrument gegen sogenannte „DSGVO-Abmahner“, missmutige Beschäftigte oder Geschäftspartner und systematische Schadensersatzkläger, die gezielt die Voraussetzungen für Entschädigungsansprüche schaffen.
Erweiterung des Schadensersatzanspruchs: Der Anwendungsbereich von Art. 82 DSGVO wird über reine Verarbeitungsvorgänge hinaus erweitert. Dies stärkt die Rechte betroffener Personen bei Auskunftsverletzungen und anderen Verstößen gegen Kapitel III der DSGVO.
Gleichzeitige Begrenzung: Der Schadensersatzanspruch wird durch das Erfordernis eines tatsächlich nachweisbaren Schadens und die Möglichkeit einer Unterbrechung des Kausalzusammenhangs durch eigenes missbräuchliches Verhalten begrenzt. Das Gericht zeigt damit einen ausgewogenen Ansatz, der sowohl die Rechte der betroffenen Personen als auch den Schutz der Verantwortlichen vor missbräuchlichen Ansprüchen berücksichtigt.
Offene Fragen: Es wird letztlich Sache des vorlegenden Amtsgerichts Arnsberg sein, unter Berücksichtigung aller Umstände des Einzelfalls zu entscheiden, ob TCs Vorgehen tatsächlich missbräuchlich war und ob ihm – sollte ein Verstoß von Brillen Rottler festgestellt werden – ein ersatzfähiger Schaden entstanden ist.

Bleiben Sie informiert

Wir haben bereits zahlreiche Unternehmen dabei geholfen, sich gegen missbräuchliche Auskunftsansprüche zu wehren. Haben Sie Fragen zu diesem Urteil oder benötigen Sie rechtliche Unterstützung im Bereich Datenschutz? Nehmen Sie gerne über das Kontaktformular Verbindung mit uns auf.

Möchten Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht und weitere relevante EuGH-Entscheidungen auf dem Laufenden bleiben? Abonnieren Sie den Newsletter von Two Towers und erhalten Sie praxisrelevante Analysen direkt in Ihr Postfach.

Google reCAPTCHA – Änderungen beim Datenschutz

Posted on 26. Februar 202626. Februar 2026 by Christian Klos

Google ändert ab dem 2. April 2026 seine datenschutzrechtliche Rolle bei dem Tool reCAPTCHA: Statt selbst Verantwortlicher zu sein, will Google zum Auftragsverarbeiter werden, so das Unternehmen. Was zunächst wie ein Compliance‑Gewinn wirkt, führt in der Praxis zu mehr Pflichten und Haftungsrisiken für Unternehmen. Wir erklären, warum die Situation trotz Rollenwechsel nicht besser wird und welche Schritte Website-Betreiber zwingend einleiten müssen.

Was ist reCAPTCHA?

Captchas sind Tests auf Webseiten, mit deren Hilfe Menschen von Roboterprogrammen unterschieden werden können. Darunter fallen z. B. Aufgaben zur Entzifferung verzerrten Texts (CAPTCHA = Completely Automated Public Turing Test to Tell Computers and Humans Apart). Diese müssen bei verschiedenen Interaktionen im Internet durchgeführt werden, wie z. B. der Registrierung auf einer Webseite oder dem Abschicken eines Kommentars. Dadurch sollen Spam-Angriffe und anderweitige Manipulationsversuche auf Webseiten verhindert werden.

Der größte Anbieter von Captchas ist Google mit seinem Dienst reCAPTCHA. Bei dem Einsatz von reCAPTCHA läuft teilweise im Hintergrund eine Auswertung des Benutzerverhaltens des Webseitenbesuches, was schon für sich Datenschutz-Herausforderungen mit sich bringt (siehe dazu unser Blogartikel).

Was ändert sich jetzt?

Bisher sah sich Google bei der Nutzung von reCAPTCHA selbst als datenschutzrechtlich Verantwortlicher. Dadurch konnte Google die im Hintergrund gesammelten Daten eigenständig verwenden, auch für produktübergreifende Zwecke.
Mit Wirkung zum 2. April 2026 ändert sich dies:

Google wird zum Auftragsverarbeiter,
Websitebetreiber hingegen werden zu alleinigen Verantwortlichen,
Grundlage der Verarbeitung sind die geänderten Google Cloud Specific Terms.

Damit unterwirft sich Google der Weisungskontrolle der Betreiber. Die technischen Funktionen von reCAPTCHA bleiben vollständig bestehen; es handelt sich ausschließlich um einen rechtlichen Rollenwechsel ohne technische Änderungen.

Welche Daten werden weiterhin verarbeitet?

Die im Hintergrund genutzten Daten bleiben im Wesentlichen unverändert. reCAPTCHA verarbeitet weiterhin:

IP-Adressen
Cookies und Cookie‑Identifier
Browser- & Geräteinformationen
Interaktions- und Verhaltenserkennung
Referrer‑Daten

Diese Daten gelten fast durchweg als personenbezogen.

Auch der Drittlandtransfer in die USA bleibt bestehen – mit allen bekannten DSGVO‑Risiken.

Warum die Situation für Unternehmen nicht besser wird

1. Mehr Verantwortung statt weniger

Unternehmen werden durch den Rollenwechsel vollständig verantwortlich für:

Rechtsgrundlage der Verarbeitung
Information der Nutzer
Ggf. Einbindung im Consent‑Management
Dokumentation im Verzeichnis der Verarbeitungstätigkeiten
Risikobewertungen (insbesondere bei US‑Transfers)

Damit steigt der administrative Aufwand erheblich.

2. Keine Transparenz‑Verbesserung

Ein Kernproblem bleibt bestehen:

Google legt auch weiterhin nicht offen, welche Daten exakt erhoben und wie sie im Detail verarbeitet werden.

Auch wenn Google formell keine eigenen Zwecke mehr verfolgt, bleibt die tatsächliche Datenverarbeitung im Hintergrund eine Blackbox. Unternehmen müssen nun rechtlich für einen Prozess einstehen, dessen genaue technische Details sie nicht kennen. Damit besteht das Risiko, dass hier gar keine echte Auftragsverarbeitung vorliegt (ein bußgeldbewährter DSGVO-Verstoß) und dass Unternehmen für Datenverarbeitungen von Google verantwortlich werden, welche sie weder genau kennen noch verstehen.

3. Drittlandtransfer bleibt ein Compliance‑Risiko

Der Datentransfer in die USA bleibt weiterhin hochproblematisch, da dort kein der EU gleichwertiges Datenschutzniveau besteht.

Damit müssen Unternehmen zusätzliche technische und organisatorische Maßnahmen (TOMs) sowie Risikoabwägungen treffen – obwohl sie keine Einsicht in die Detailverarbeitung erhalten.

4. Pflichten steigen, aber Unternehmen erhalten keine Kontrolle

Die paradoxe Konsequenz:

Unternehmen werden rechtlich verantwortlich,
haben aber keine technische Kontrolle über die eigentliche Datenverarbeitung.

Das führt zu einer Verschiebung der Haftung, nicht aber zu einer Verbesserung der Datenschutzlage.

Websitebetreiber, die weiterhin Google reCAPTCHA einsetzen, müssen bis April alle Hinweise auf die bisherigen Google‑Privacy-Policies entfernen, da sie nicht mehr gültig sind.

Auch das bedeutet zusätzlichen Aufwand, ohne materiellen Datenschutzgewinn.

Fazit: Mehr Pflichten, keine wirkliche Verbesserung

Der Rollenwechsel von Google ist formal ein Schritt in Richtung DSGVO‑Konformität – realistisch betrachtet aber keine Verbesserung für Unternehmen.
Die Verantwortung verschiebt sich vollständig auf die Websitebetreiber, während die strukturellen Probleme von reCAPTCHA fortbestehen:

fehlende Transparenz,
weiterhin hoher Datenumfang,
unveränderter US‑Transfer,
fehlende technische Kontrolle.

Unternehmen tragen nun die komplette Haftung für ein System, dessen Funktionsweise sie nicht einsehen können. Wir raten daher umso mehr dazu, sich nach alternativen Lösungen umzusehen.

Checkliste für Unternehmen, die reCAPTCHA weiterhin nutzen wollen

Soweit Webseitenbetreiber trotz der Risken beim Datenschutz weiterhin an Google reCAPTCHA festhalten möchten, sollten in jedem Fall die folgenden Punkte beachtet werden.

1. Auftragsverarbeitungsvertrag (DPA) abschließen

Google Cloud DPA abschließen oder aktualisieren.

2. Datenschutzerklärung aktualisieren

Alle Verweise auf Googles alte Datenschutzhinweise entfernen
Nutzung von reCAPTCHA transparent und detailliert darstellen

3. Consent‑Management-System anpassen

Klären, ob eine Einwilligung erforderlich ist
Falls ja, sicherstellen, dass reCAPTCHA erst nach Zustimmung geladen wird

4. Risikoanalyse durchführen

Bewertung des Drittlandtransfers in die USA
Dokumentation von Schutzmaßnahmen (TOMs)

5. Verarbeitungstätigkeit dokumentieren

Aufnahme in das Verzeichnis der Verarbeitungstätigkeiten

6. Alternativen prüfen

EU‑basierte CAPTCHA‑Alternativen wie Friendly Captcha in Betracht ziehen

Bei Fragen zur Nutzung von Google reCAPTCHA und vergleichbaren Tools, der datenschutzkonformen Einholung einer Einwilligung sowie der Bereitstellung der notwendigen Informationen in einer Datenschutzerklärung sind wir Ihnen gerne mit unserer Expertise behilflich. Kontaktieren Sie uns einfach.

Abonnieren Sie auch gerne unseren Newsletter, um bei den Entwicklungen im Datenschutz immer auf dem aktuellen Stand zu sein.

Datenschutz im Homeoffice: DSGVO-Pflichten, Risiken und konkrete Schutzmaßnahmen

Posted on 25. Februar 202625. Februar 2026 by Christian Klos

Spätestens seit dem Frühjahr 2020 hat sich mobiles Arbeiten von der Ausnahme zum festen Bestandteil des Arbeitsalltags entwickelt. Was für Unternehmen und Beschäftigte Flexibilität brachte, stellte den Datenschutz jedoch vor neue Herausforderungen. Denn personenbezogene Daten werden seitdem nicht mehr ausschließlich im geschützten Büro verarbeitet, sondern zunehmend in privaten Wohnungen, unterwegs oder in wechselnden Arbeitsumgebungen.

Dabei gilt eine klare rechtliche Leitlinie: Die DSGVO macht keinen Unterschied zwischen Büro, Homeoffice oder mobilem Arbeiten. Datenschutzrechtliche Pflichten bestehen unabhängig vom Arbeitsort vollumfänglich weiter.

Unternehmen bleiben Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO und tragen die Haftung für Datenschutzverstöße auch dann, wenn Mitarbeitende von zu Hause oder unterwegs arbeiten. Unzureichend gesicherte Geräte, fehlende VPN-Verbindungen oder falsch entsorgte Unterlagen können empfindliche Bußgelder nach sich ziehen.

Dieser Beitrag zeigt praxisnah,

welche gesetzlichen Anforderungen im Homeoffice gelten,
welche technischen und organisatorischen Maßnahmen zwingend notwendig sind,
welche typischen Fehler Unternehmen vermeiden sollten
und wie sich Datenschutz im Homeoffice strukturiert umsetzen lässt.

Datenschutz im Homeoffice – die wichtigsten Punkte auf einen Blick

DSGVO und BDSG gelten auch im Homeoffice ohne Einschränkungen
Arbeitgeber bleiben voll verantwortlich für die Datenverarbeitung
VPN, Zwei-Faktor-Authentifizierung und Verschlüsselung sind zentrale Schutzmaßnahmen
Räumliche Vertraulichkeit im häuslichen Umfeld ist zwingend sicherzustellen
Ausdrucke mit personenbezogenen Daten dürfen nicht im Hausmüll landen
Verbindliche Homeoffice-Richtlinien und regelmäßige Schulungen sind Pflicht
Private Geräte (BYOD) sind nur unter strengen Voraussetzungen zulässig
Datenschutzvorfälle müssen innerhalb von 72 Stunden gemeldet werden
Bei Verstößen drohen Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes

Rechtlicher Rahmen: DSGVO, BDSG und Homeoffice

Die datenschutzrechtlichen Anforderungen an Homeoffice-Arbeitsplätze ergeben sich aus mehreren zentralen Vorschriften der DSGVO. Art. 5 DSGVO definiert die Grundprinzipien der Datenverarbeitung, insbesondere Integrität und Vertraulichkeit.

Art. 24 und 25 DSGVO verpflichten Unternehmen, geeignete Schutzmaßnahmen zu implementieren und Datenschutz bereits bei der Gestaltung von Prozessen zu berücksichtigen. Art. 32 DSGVO konkretisiert dies mit Hinblick auf die Verarbeitungssicherheit.

Für den Beschäftigtendatenschutz ergänzt § 26 BDSG diese Vorgaben im deutschen Recht. Diese Norm greift unabhängig davon, ob personenbezogene Daten im Büro oder im Homeoffice verarbeitet werden.

Dabei gilt: Der Arbeitgeber bleibt Verantwortlicher. Dass die Datenverarbeitung räumlich in der Wohnung der Mitarbeitenden erfolgt, ändert nichts an der rechtlichen Zuständigkeit des Unternehmens.

Werden externe IT-Dienstleister, Cloud-Anbieter oder Kollaborationstools genutzt, handelt es sich regelmäßig um Auftragsverarbeitung nach Art. 28 DSGVO. Entsprechende Verträge sind zwingend erforderlich, unabhängig vom Arbeitsort der Beschäftigten.

Auch arbeitsrechtlich ist Homeoffice nicht „rechtsfreier Raum“. Ohne Zusatzvereinbarungen oder Betriebsvereinbarungen fehlt eine belastbare Grundlage für Pflichten, Kontrollrechte und Verantwortlichkeiten.

Der Unterschied zwischen Homeoffice, Telearbeit und mobilem Arbeiten

Im Sprachgebrauch werden diese Begriffe häufig vermischt, rechtlich bestehen jedoch Unterschiede:

Telearbeit / klassisches Homeoffice:
Fester Arbeitsplatz in der Wohnung, vom Arbeitgeber ausgestattet, vertraglich geregelt.
Mobiles Arbeiten:
Ortsunabhängige Tätigkeit, z. B. im Zug, Hotel oder Café mit erhöhtem Datenschutzrisiko.

Datenschutzrechtlich gilt jedoch immer dasselbe Prinzip: Sobald personenbezogene Daten verarbeitet werden, müssen angemessene Schutzmaßnahmen greifen unabhängig vom Ort.

Typische Risikosituationen:

Arbeiten mit Kundendaten im Zug → Schultersurfen, unsichere WLANs
Videokonferenzen im Wohnzimmer → Sichtbarkeit vertraulicher Informationen
Bearbeitung sensibler Daten zu Hause → Zugriff durch Familienangehörige

Das erforderliche Sicherheitsniveau richtet sich dabei nach der Sensibilität der verarbeiteten Daten. Gesundheits-, Sozial- oder Personaldaten erfordern etwa deutlich höhere Schutzstandards als anonymisierte Informationen.

Technische und organisatorische Maßnahmen im Homeoffice zusammengefasst

Die DSGVO verlangt auch im Homeoffice ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten. Arbeitgeber müssen daher verbindliche technische und organisatorische Maßnahmen festlegen, bevor Mitarbeitende remote arbeiten.

Hardware und Software

Zu den grundlegenden technischen Schutzmaßnahmen zählen ausschließlich vom Unternehmen bereitgestellte und zentral verwaltete Geräte, der Einsatz freigegebener Software sowie ein konsequentes Update- und Patch-Management.

Jeder externe Zugriff auf Unternehmenssysteme muss über eine verschlüsselte VPN-Verbindung erfolgen, ergänzt durch eine Multi-Faktor-Authentifizierung für sensible Anwendungen. Öffentliche WLANs dürfen nur in Kombination mit VPN genutzt werden.

Personenbezogene Daten sind grundsätzlich auf Unternehmensservern oder genehmigten Cloud-Lösungen zu speichern. Private Cloud-Dienste, USB-Sticks oder externe Festplatten sind unzulässig.

Ist eine temporäre lokale Speicherung unvermeidbar, müssen Datenträger vollständig verschlüsselt und die Daten schnellstmöglich wieder in das Unternehmensnetz übertragen werden. Regelmäßige Backups, Virenschutz und Protokollierung sensibler Zugriffe sind ebenfalls Pflicht.

Herausforderungen bei privaten Rechnern

Die Nutzung privater Geräte (BYOD) ist datenschutzrechtlich besonders riskant und sollte nur unter strengen Voraussetzungen erlaubt werden. Erforderlich sind unter anderem Mobile-Device-Management, eine klare Trennung zwischen privaten und dienstlichen Daten, Verschlüsselung sowie die Möglichkeit zum Remote-Löschen bei Verlust.

Für besonders sensible Daten – etwa Gesundheits- oder Sozialdaten – ist BYOD in der Regel ungeeignet.

Umgang mit analogen Unterlagen

Auch analoge Unterlagen stellen im Homeoffice ein erhebliches Risiko dar. Ausdrucke sollten auf das notwendige Minimum beschränkt und sicher aufbewahrt werden.

Die Entsorgung darf ausschließlich datenschutzkonform erfolgen, etwa durch Aktenvernichter der Sicherheitsstufe P-4 oder durch Rückführung in den Betrieb. Eine Entsorgung im Hausmüll oder Altpapier ist unzulässig und kann eine meldepflichtige Datenschutzverletzung darstellen.

Räumliche Sicherheit

Ein weiterer zentraler Aspekt ist die räumliche Sicherheit. Arbeitsplätze sollten sich möglichst in einem separaten, abschließbaren Raum befinden. Bildschirme müssen vor Einblicken geschützt sein, Geräte bei jeder Abwesenheit gesperrt werden und Unterlagen außerhalb der Arbeitszeit verschlossen lagern.

Bei Videokonferenzen ist darauf zu achten, dass keine vertraulichen Informationen im Hintergrund sichtbar oder Gespräche von Dritten mitgehört werden.

Interne und arbeitsrechtliche Regelungen

Um diese Anforderungen wirksam umzusetzen, sind klare interne Regelungen unerlässlich. Homeoffice-Richtlinien, IT-Sicherheitsvorgaben und arbeitsvertragliche Zusatzvereinbarungen müssen festlegen, welche Arbeitsmittel genutzt werden dürfen, wie Vorfälle zu melden sind und welche Pflichten Mitarbeitende haben.

Je nach Art und Umfang der Datenverarbeitung kann zudem eine Datenschutz-Folgenabschätzung erforderlich sein.

Ergänzend dazu sind regelmäßige Schulungen verpflichtend. Mitarbeitende müssen für typische Risiken im Homeoffice sensibilisiert werden, etwa Phishing, unsichere Netzwerke oder den Verlust von Geräten. Schulungen sollten dokumentiert werden und klare Handlungsanweisungen für Datenschutzvorfälle enthalten.

Kommt es dennoch zu einer Datenpanne, gilt: Jeder Vorfall ist unverzüglich intern zu melden. Besteht ein Risiko für die Rechte und Freiheiten der Betroffenen, muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informiert werden. Ein klar definierter Notfall- und Meldeprozess ist daher auch im Homeoffice zwingend erforderlich.

Praxis-Checkliste: Datenschutz im Homeoffice umsetzen

Geschäftsführung

Homeoffice-Policy erstellen
Budget für IT-Sicherheit und Schulungen
Regelmäßige Überprüfung

VPN & MFA
Patch-Management
Endpoint-Security
Festplattenverschlüsselung

Datenschutzbeauftragter

BYOD-Regeln
DSFA prüfen
Schulungen dokumentieren

Mitarbeitende

Nur freigegebene Geräte nutzen
Bildschirm sperren
Vorfälle sofort melden

Fazit: Datenschutz im Homeoffice ist ein Dauerprozess

Homeoffice bleibt – und damit auch die Verantwortung für Datenschutz außerhalb klassischer Büros. DSGVO-Compliance im Homeoffice ist kein einmaliges Projekt, sondern eine fortlaufende Aufgabe.

Unternehmen, die klare Regelungen schaffen, technische Sicherheit konsequent umsetzen und ihre Mitarbeitenden regelmäßig sensibilisieren, reduzieren Risiken erheblich und schaffen Vertrauen.

Überprüfen Sie Ihre Homeoffice-Regelungen, TOM und Schulungskonzepte zeitnah und dokumentieren Sie Anpassungen sorgfältig.

Sie wünschen rechtssichere Unterstützung? Als erfahrene Experten im Bereich Datenschutz begleiten wir Ihr Unternehmen bei allen Fragen rund um Datenschutz im Homeoffice und mobiles Arbeiten.

Zum Kontaktformular

Zur Newsletter-Anmeldung

Newsletter DSGVO-konform gestalten: Rechtssicheres E-Mail-Marketing erklärt

Posted on 25. Februar 202625. Februar 2026 by Christian Klos

Der Versand von Newslettern unterliegt in Deutschland und der EU strengen rechtlichen Vorgaben. Spätestens seit Inkrafttreten der DSGVO im Mai 2018 ist klar: E-Mail-Adressen sind personenbezogene Daten, deren Verarbeitung nur unter klar definierten Voraussetzungen zulässig ist.

Bereits kleine Fehler im Anmeldeprozess, etwa fehlende Einwilligungen oder eine mangelhafte Dokumentation, können Abmahnungen und Bußgelder nach sich ziehen, die im Extremfall bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können.

Gleichzeitig bleibt E-Mail-Marketing einer der effektivsten Kanäle im Online-Marketing. Newsletter erzielen in vielen Branchen höhere Reichweiten und bessere Conversion-Raten als Social Media. Genau deshalb lohnt es sich, den Newsletter nicht nur marketingstrategisch, sondern auch rechtlich sauber aufzusetzen.

Rechtlicher Rahmen: DSGVO, UWG und DDG

Rechtssicheres Newsletter-Marketing bewegt sich im Spannungsfeld mehrerer Gesetze. Die DSGVO regelt, wann und wie personenbezogene Daten verarbeitet werden dürfen. Das Gesetz gegen den unlauteren Wettbewerb (UWG) bestimmt, wann E-Mail-Werbung als unzumutbare Belästigung gilt. Ergänzend schreibt das Digitale-Dienste-Gesetz (DDG) unter anderem eine Impressumspflicht auch für Newsletter vor.

Als personenbezogene Daten gelten dabei nicht nur E-Mail-Adressen, sondern auch IP-Adressen bei der Anmeldung, Öffnungs- und Klickdaten, Interessenprofile oder zusätzliche Angaben im Anmeldeformular. Für den Umgang mit diesen Daten gelten die bekannten DSGVO-Grundsätze wie Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit.

Einwilligung als zentrale Voraussetzung

Grundregel für den Newsletter-Versand: Ohne wirksame und nachweisbare Einwilligung keine E-Mail-Werbung. In der Praxis wird diese Einwilligung fast immer über das Double-Opt-in-Verfahren eingeholt. Dabei trägt sich der Interessent zunächst in ein Formular ein, erhält anschließend eine Bestätigungs-E-Mail und wird erst nach Klick auf den Bestätigungslink in den Verteiler aufgenommen. Zeitpunkt und IP-Adresse der Bestätigung müssen dokumentiert werden, um die Einwilligung später nachweisen zu können.

Ein einfaches Single-Opt-in ohne Bestätigung gilt in Deutschland als rechtlich nicht mehr vertretbar, da der Nachweis fehlt, dass tatsächlich der Inhaber der E-Mail-Adresse zugestimmt hat.

Sonderfall Bestandskunden

Unter engen Voraussetzungen erlaubt § 7 Abs. 3 UWG den Newsletter-Versand an Bestandskunden auch ohne erneutes Opt-in. Voraussetzung ist unter anderem, dass die E-Mail-Adresse im Rahmen eines bestehenden Vertragsverhältnisses erhoben wurde, die Werbung sich auf ähnliche eigene Produkte oder Dienstleistungen bezieht und der Kunde jederzeit einfach widersprechen kann.

Zudem darf die letzte Kundenbeziehung nicht zu lange zurückliegen, und die Adresse darf nicht aus fremden oder gekauften Quellen stammen.

DSGVO-konformes Anmeldeformular

Das Anmeldeformular ist der entscheidende Punkt für die Rechtssicherheit. Pflichtfeld darf ausschließlich die E-Mail-Adresse sein. Weitere Angaben wie Name oder Unternehmen sind nur als freiwillige Zusatzfelder zulässig. Vorab angekreuzte Checkboxen, versteckte Einwilligungen oder Kopplungen an andere Leistungen sind unzulässig.

Der Einwilligungstext muss klar und verständlich darüber informieren, welche Inhalte versendet werden, in welcher Häufigkeit der Newsletter erscheint und ob Tracking zur Erfolgsmessung eingesetzt wird. Ein gut sichtbarer Link zur Datenschutzerklärung ist ebenfalls Pflicht.

Newsletter-Tools und Auftragsverarbeitung

Für DSGVO-konformes E-Mail-Marketing ist der Einsatz eines professionellen Newsletter-Tools praktisch unverzichtbar. Solche Tools müssen unter anderem das Double-Opt-in technisch sauber abbilden, Einwilligungen protokollieren sowie Lösch- und Exportfunktionen für Betroffenenanfragen bereitstellen.

Der Anbieter des Tools ist in der Regel Auftragsverarbeiter. Deshalb muss ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden.

Befinden sich Server außerhalb der EU, kommen zusätzliche Anforderungen wie Standardvertragsklauseln (sofern kein Angemessenheitsbeschluss für ein Abkommen mit dem jeweiligen Drittland vorliegt) und Risikoanalysen hinzu.

In jedem Fall verbleibt bei Anbietern im Nicht-EU-Ausland ein Restrisiko. Für die höchstmögliche rechtliche Sicherheit nutzen Sie daher am besten Dienste mit Standorten in Deutschland oder der EU. Ein Beispiel dafür ist Brevo.

Datenschutz im laufenden Newsletter-Betrieb

Die DSGVO-Konformität endet nicht mit der Anmeldung. Auch im laufenden Versand müssen Inhalte und Zweck übereinstimmen. Wer Newsletter für Produktinformationen angekündigt hat, darf diese nicht plötzlich für themenfremde Werbung oder Drittangebote nutzen.

Tracking-Funktionen wie Öffnungs- und Klickmessungen sind datenschutzrechtlich sensibel. Werden diese personenbezogen ausgewertet, ist in vielen Fällen eine ausdrückliche Einwilligung erforderlich. Alternativ können anonymisierte Statistiken genutzt werden, die keine Rückschlüsse auf einzelne Empfänger zulassen.

Der Widerruf der Einwilligung muss jederzeit möglich und genauso einfach sein wie die Anmeldung. Ein Abmeldelink in jeder E-Mail ist zwingend erforderlich und muss mit einem Klick funktionieren ohne Login oder Begründungspflicht.

Impressum, Informationspflichten und Dokumentation

Newsletter unterliegen der Impressumspflicht. Die Anbieterkennzeichnung muss vollständig sein und entweder direkt in der E-Mail oder über einen klar erkennbaren Link erreichbar sein. Zusätzlich müssen die Informationspflichten nach Art. 13 DSGVO in der Datenschutzerklärung erfüllt werden, insbesondere zu Zwecken, Rechtsgrundlagen, Speicherdauer und Betroffenenrechten.

Intern sollten Unternehmen ihre Newsletter-Prozesse dokumentieren, etwa im Verzeichnis der Verarbeitungstätigkeiten. Dazu gehören definierte Löschfristen, klare Zuständigkeiten und regelmäßige Überprüfungen der Einwilligungsnachweise.

Fazit

Ein DSGVO-konformer Newsletter ist kein bürokratisches Hindernis, sondern die Basis für nachhaltiges und erfolgreiches E-Mail-Marketing. Saubere Einwilligungen, transparente Kommunikation und verlässliche technische Prozesse sorgen für rechtliche Sicherheit und für engagiertere Abonnenten, bessere Öffnungsraten und weniger Beschwerden.

Wer sein Anmeldeformular, das Double-Opt-in und den AV-Vertrag im Blick hat, deckt bereits die größten rechtlichen Risiken ab und schafft gleichzeitig Vertrauen bei seinen Empfängern.

Sie möchten sich beim Thema E-Mail-Marketing professionell beraten lassen? Als Experten für Datenschutz finden wir mit Ihnen gemeinsam die bestmögliche Lösung für Ihre individuelle Situation.

Zum Kontaktformular

Zur Newsletter-Anmeldung

Datenschutzrechtliche Auskunftsersuchen und Überlassen einer Kopie

Posted on 17. Februar 2026 by Dina Schlombs

Immer wieder stellt sich im Rahmen von datenschutzrechtlichen Auskunftsersuchen die Frage, in welchem Umfang Verantwortliche verpflichtet sind, einem Antragsteller oder einer Antragstellerin eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen? Genügt eine strukturierte Übersicht der verarbeiteten personenbezogenen Daten oder sind Kopien konkreter Dokumente zur Verfügung zu stellen?

Eine Antwort liefern EuGH‑Rechtsprechung, deutsche Gerichte und aufsichtsbehördliche Hinweise. Dennoch bleibt die Umsetzung des Auskunftbegehrens in der Praxis anspruchsvoll.

Rechtlicher Rahmen zum Überlassen einer Kopie im Überblick

Art. 15 Abs. 1 Halbsatz 2, Abs. 3 Satz 1 DSGVO begründet die Pflicht des Verantwortlichen, einer betroffenen Person eine Kopie ihrer verarbeiteten personenbezogenen Daten zur Verfügung zu stellen. Voraussetzung ist, dass

die angeforderten Informationen personenbezogene Daten des Antragstellers enthalten,
das angefragte Unternehmen Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO ist und
der Anspruch nicht rechtsmissbräuchlich ist.

Was heißt aber Kopie?

Rechtsprechung zur Bereitstellung einer Kopie

EuGH

Der EuGH hat in seiner Entscheidung vom 4. Mai 2023 (C-487/21) und erneut in der Entscheidung vom 26. Oktober 2023 (C-307/22) klargestellt, dass Art. 15 Abs. 3 Satz 1 DSGVO kein anderes Recht gewährt als Art. 15 Abs. 1 und lediglich die Modalitäten der Auskunft regelt. Der Begriff „Kopie“ bezieht sich nach Auffassung des EuGH nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die vollständig enthalten sein müssen. Das Gericht hält nur ausnahmsweise eine Kopie von Dokumenten oder Dokumentauszügen für notwendig, wenn dies für die Verständlichkeit der Daten erforderlich ist und die betroffene Person anderenfalls nicht ihre Rechte nach der DSGVO effektiv ausüben kann.

Deutsche Rechtsprechung

In einer aktuelleren Entscheidung des LAG München vom 12. Juni 2025 (2 SLa 70/25) folgt das Gericht der Linie des EuGH und verneint einen Anspruch auf Herausgabe einer Kopie, konkret die Kopie eines Compliance‑Abschlussberichts. Das LAG München stellt mit Bezugnahme auf eine Entscheidung des BFH vom 12. März 2024 (AZ. IX R 35/21) klar, dass es die betroffene Person darlegen muss, wenn die strukturierte Zusammenstellung der personenbezogenen Daten sowie der Informationen nach Art. 15 Abs. 1 lit. a-h DSGVO für die Wahrnehmung der ihr durch die DSGVO verliehenen Rechte nicht genügt.

Sowohl BFH als auch LAG München gehen davon aus, dass insbesondere durch die Mitteilung, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck diese Verarbeitung erfolgt, die betroffene Person regelmäßig in der Lage ist, die Richtigkeit der personenbezogenen Daten und die Rechtmäßigkeit deren Verarbeitung zu überprüfen.

Auffassung der Aufsichtsbehörden zur Bereitstellung einer Kopie

Der Europäische Datenschutzausschuss (EDSA), der sich aus Vertretern der nationalen Datenschutzbehörden der Mitgliedstaaten zusammensetzt, betont in seiner Leitlinie 01/2022 zum Auskunftsrecht vom 28. März 2023 ebenfalls, dass die Pflicht, eine Kopie bereitzustellen, kein zusätzliches Recht darstellt. Gleichzeitig fordert er eine präzise, transparente und verständliche Darstellung, ohne dies als Vorwand zur Datenkürzung zu nutzen. Ob eine Zusammenstellung oder eine Dokumentkopie verständlicher ist, ist nach Auffassung des EDSA im Einzelfall zu entscheiden.

Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) erklärt in seiner Information für datenschutzrechtlich Verantwortliche zum Recht auf Auskunft gemäß Art. 15 DSGVO vom Dezember 2024, dass „Kopie“ i. S. d. Art. 15 Abs. 3 DSGVO nicht bedeutet, dass der Verantwortliche eine „Fotokopie“ zur Verfügung stellen muss, sondern eine strukturierte Wiedergabe der auf die betroffene Person bezogenen Daten zur Verfügung zu stellen hat. Das BayLDA bezieht sich in seinen Hinweisen auf die oben aufgeführte Entscheidung des EuGH vom 4. Mai 2023 und bestätigt, dass Dokumentauszüge oder ganze Dokumente ausnahmsweise dann bereitzustellen sind, wenn dies unerlässlich ist, um die wirksame Ausübung der Betroffenenrechte zu ermöglichen.

Im Rahmen der dritten koordinierten Prüfung der Datenschutzbehörden zur Umsetzung des Rechts auf Auskunft gem. Art. 15 DSGVO kritisieren diese in ihrem Abschlussbericht vom 16. Januar 2025, dass manche Verantwortliche „grundsätzlich“ keine Dokumentenauszüge liefern. In Anlehnung an die Rechtsprechung des EuGH empfehlen die Behörden auch an dieser Stelle eine konsequente einzelfallbezogene Prüfung und keine grundsätzliche Ablehnung von Dokumentenkopien.

Vorgehensweise in der Praxis bei der Bearbeitung des Auskunftsersuchens

Um im Einzelfall zu klären, ob eine Datenübersicht ausreichend oder die Überlassung von Dokumentenkopien erforderlich ist, bietet die folgende Übersicht als Checkliste eine Hilfestellung.

Datenübersicht oder Dokumentenkopie?

Wozu genau wird Auskunft verlangt? Sind Dokumentenkopien erfasst oder von vornherein eventuell aufgrund der Art der zu beauskunftenden Daten ausgeschlossen?
Ist eine Zusammenstellung der personenbezogenen Daten ohne Kopie möglich? Kann also eine vollständige, strukturierte, verständliche, präzise und transparente Auskunft erteilt werden? (Hierbei ist es auch unschädlich, einfach herstellbare Dokumentenkopien, wie z. B. einen Auszug aus einem Kundensystem oder eine E-Mail als erörternde und kontextgebende Beispiele beizufügen.)
Ist eine wirksame Rechtsausübung ohne (weitere) Dokumente gefährdet?
- Ist die Kontextinformation für das Verständnis der personenbezogenen Daten erforderlich (z. B.: medizinische Befunde, handschriftliche Notizen, Tonaufnahmen)?
- Ist eine Richtigkeits-/Vollständigkeitsprüfung ohne Sicht auf die Darstellung im Dokument nicht möglich oder unzumutbar erschwert?
Hat der Antragstellers subtanziell dargelegt, warum ohne Dokumentenauszüge/-kopien die Rechte nicht effektiv ausgeübt werden können?
- Prüfung der Erforderlichkeit und Verhältnismäßigkeit
- Ggf. Einsatz technischer Mittel zur Schwärzung zum Schutz der Rechte Dritter, wenn einzelne Kopien herausgegeben werden.
Wird das geforderte Beauskunften von Dokumentenkopien transparent und begründet abgelehnt?
- Begründung, falls entgegen dem Antrag keine Kopien von Dokumenten oder Auszügen bereitgestellt werden
- Spezifisch zum Einzelfall und nicht pauschal
- Nennung der verfügbaren Rechtsschutzmöglichkeiten (Beschwerde, gerichtlicher Rechtsbehelf)

Fazit

Kopien von ganzen Dokumenten oder Auszügen sind nur nötig, wenn sie für die Verständlichkeit der verarbeiteten personenbezogenen Daten erforderlich und unerlässlich sind, damit die betroffene Person ihre Rechte wirksam wahrnehmen kann und Rechte Dritter gewahrt werden.

Ist die betroffene Person der Auffassung, dass die Kopie der personenbezogenen Daten sowie die Mitteilung der Informationen nach Art. 15 Abs. 1 lit. a-h DSGVO für die Wahrnehmung ihrer Rechte nach der DSGVO nicht genügt, muss das von ihr substantiiert dargelegt werden.

Um das Auskunftsrecht in der Praxis rechtssicher, effizient und betroffenenorientiert zu erfüllen, sollte ein belastbarer Entscheidungsprozess etabliert, Abwägungen dokumentiert und die Daten in verständlicher Form zur Verfügung gestellt werden.

Gerne stehen wir Ihnen bei der Entwicklung und Umsetzung dieses Prozesses sowie bei speziellen Fragen zu einzelnen Auskunftsersuchen zur Verfügung.

Abonnieren Sie unseren Newsletter, um auch bei allen weiteren Themen zum Datenschutz immer auf dem aktuellen Stand zu sein.

Verstärkte Sorgfaltspflichten nach § 15 GwG und die Verarbeitung sensibler Daten nach Artikel 10 DSGVO – am Beispiel Axel Fischer

Posted on 17. Februar 202617. Februar 2026 by Ina Rothe

Geldwäscheprävention und Datenschutz stehen nicht im Widerspruch, sie stehen im Spannungsverhältnis. Besonders deutlich wird das bei verstärkten Sorgfaltspflichten nach § 15 Geldwäschegesetz (GwG), wenn Informationen über strafrechtliche Verurteilungen vorliegen.

Der Fall des ehemaligen CDU-Bundestagsabgeordneten Axel Fischer, der im Januar 2026 wegen Bestechlichkeit im Rahmen der auch als Kaviar-Diplomatie bekannten „Aserbaidschan-Affäre“ zu einer Freiheitsstrafe auf Bewährung und Strafzahlung verurteilt wurde (die Revision steht aus), zeigt exemplarisch, welche geldwäscherechtlichen Risikoindikatoren greifen und welche datenschutzrechtlichen Grenzen zwingend zu beachten sind.

§ 15 GwG: geldwäscherechtliche Schlüsselnorm für verstärkte Sorgfaltspflichten

Gehen wir den Fall Axel Fischer gedanklich durch und stellen uns vor, wir wären seine Hausbank.

Nach § 15 GwG müssen nach diesem Gesetz Verpflichtete (z. B. eben Banken, aber auch Finanzdienstleister oder Notare) verstärkte Sorgfaltspflichten bei ihren Kunden anwenden, wenn ein erhöhtes Geldwäscherisiko besteht. Gesetzliche Risikoindikatoren für ein solches erhöhtes Geldwäscherisiko sind dabei:

Politisch exponierte Personen (PEP): Annehmend, dass Axel Fischer 2020 Kunde unserer Beispielbank wurde, kann das bejaht werden. Axel Fischer ist CDU-Mitglied und war zu dem Zeitpunkt und bis 2021 Bundestagsabgeordneter und zuvor in EU-politischen Funktionen.
Nähe zu Staaten mit erhöhtem Korruptions- oder Geldwäscherisiko: Bekanntermaßen setze sich Axel Fischer für die Interessen Aserbaidschans ein, lange vor ersten Vorwürfen der damit in Zusammenhang stehenden Korruption. Aserbaidschan hält aktuell Rang 154 von 180 Ländern im Corruption Perception Index von Transparency International und gilt damit im internen Länderkonzept unserer Beispielbank als Hochrisikostaat. Als Hausbank haben wir dies in der Risikobewertung von Axel Fischer berücksichtigt.
Unklare Vermögensherkunft: Bis zum ersten Korruptionsverdacht stand die Vermögensherkunft von Axel Fischer vermutlich nicht in Frage, dessen Einkünfte als Bundestagsabgeordneter sowie Nebeneinkünfte öffentlich nachvollziehbar waren.
Auffällige Transaktionsmuster: Unter Umständen haben wir als seine Hausbank ungewöhnliche Zahlungseingänge, z. B. hohe Bargeldeinzahlungen, erkennen können.

Alles in allem lag hier ein klarer Fall von verstärkten Sorgfaltspflichten mit engmaschiger Überwachung, insbesondere Monitoring der medialen Berichterstattung, bei unserer Beispielbank vor.

Und so erkannt man auch direkt den risikobasierten Ansatz des Geldwäschegesetzes. Je höher das Risiko, desto intensiver die Prüfmaßnahmen. Und: desto umfangreicher regelmäßig auch die Datenerhebung. Im Monitoring erfuhr die Hausbank sukzessive über die Kaviar-Diplomatie Aserbaidschans und die Beteiligung von Axel Fischer an der aserbaidschanischen Interessensvertretung. Diese wurden zunehmend Gegenstand medialer Aufmerksamkeit und steigerten sich zunächst zu Korruptionsvorwürfen gegen CDU/CSU-Politiker, einschließlich Axel Fischer, bis Ermittlungen, Gerichtsverfahren und letztlich die Verurteilung von Axel Fischer öffentlich besprochen wurden.

Hier beginnt die datenschutzrechtliche Herausforderung.

Art. 10 DSGVO: datenschutzrechtliche Schlüsselnorm für strafrechtliche Verurteilungen

Besonders relevant im Kontext des genannten Falls ist die Frage: Darf die strafrechtliche Verurteilung von Axel Fischer erhoben, gespeichert und für die geldwäscherechtliche Risikoanalyse herangezogen werden? Schließlich wurde über sie öffentlich berichtet.

Die Verarbeitung von Informationen über strafrechtlichen Verurteilungen ist in Art. 10 DSGVO gesondert geregelt. Sie sind besonders geschützt. Art. 10 DSGVO gilt auch dann, wenn die Informationen über strafrechtliche Verurteilungen öffentlich zugänglich sind, etwa durch Medienberichte oder Pressemitteilungen der Gerichte. So sollen Betroffene, hier Axel Fischer, vor Stigmatisierung und sozialen Risiken geschützt werden. Dieses Schutzinteresse entfällt auch nicht dadurch, dass die Information öffentlich geworden ist. Art. 10 DSGVO erlaubt die Verarbeitung solcher speziellen Daten daher nur unter behördlicher Aufsicht oder auf Grundlage einer gesetzlichen Regelung.

Eine solche gesetzliche Rechtsgrundlage liegt für Verpflichtete in § 11a GwG vor, der die Datenverarbeitung im Rahmen der Gesetzesumsetzung erlaubt.

Aber Achtung! Das gilt nur dann, wenn die Informationen auch wirklich für Zwecke der Verhinderung von Geldwäsche und Terrorismusfinanzierung erforderlich sind. Warum das entscheidend ist?

Der Gegenstand einer strafrechtlichen Verurteilung kann für die Geldwäscheprävention völlig unerheblich sein. Dann zum Beispiel, wenn eine Verurteilung wegen Gewalt im häuslichen Bereich oder wegen Alkohols am Steuer vorliegt.
Auch der Zeitpunkt einer strafrechtlichen Verurteilung ist kein nebensächliches Detail. Und gegebenenfalls entscheidend dafür, ob überhaupt noch eine Rechtsgrundlage zur Erhebung und Speicherung der Information vorliegt. Denn eine Verurteilung vor wenigen Monaten ist anders zu bewerten als eine vor zwanzig Jahren.
Ebenso ist die Abgrenzung zwischen Verdacht und rechtskräftiger Verurteilung nicht unerheblich. Handelt es sich um unbestätigte Verdachtsmomente, ein eingeleitetes Ermittlungsverfahren, gab es bereits eine Anklage oder wurde rechtskräftig verurteilt? Gerade bei unbestätigten Verdachtsmomenten sollte von einer pauschalen, dauerhaften Speicherung abgesehen werden.

Im Falle Axel Fischer erfolgte der Übergang von Verdacht zu Ermittlung zu Verhaftung und Verurteilung in relativ kurzer Zeitfolge, so dass unsere Beispielbank von einer robusten Rechtsgrundlage für die Erhebung und Nutzung der Informationen im Rahmen der geldwäscherechtlichen Risikoklassifizierung von Axel Fischer ausging.

Zusammenspiel von GwG und DSGVO: Kein Entweder-Oder

Das Vorliegen einer Rechtsgrundlage zur Verarbeitung von Informationen über strafrechtliche Verurteilungen bedeutet aber nicht, dass Datenschutz hinter Geldwäscheprävention zurücktritt. Vielmehr gilt:

Das GwG liefert die Rechtsgrundlage.
Die DSGVO definiert die Grenzen und Schutzmechanismen.

Beides muss zusammengedacht werden, wie der Fall Axel Fischer exemplarisch zeigt.
Insbesondere muss hier die Informationserhebung und -verarbeitung für den Zweck angemessen und erforderlich sein (Art. DSGVO). Es sollten also nur solche Daten gespeichert werden, die

konkret risikorelevant sind,
für die gesetzlich geforderte Risikobewertung der Geschäftsbeziehung erforderlich sind,
also der Geldwäscheprävention dienen.

Auch dort, wo es möglich ist, sollte kein flächendeckendes Strafregister-Screening ohne Anlass erfolgen. Ebenso ist vorsorgliches Erheben von Informationen über strafrechtliche Verurteilungen, z. B. das Führen interner schwarzer Listen über Personen, zu denen Negativnachrichten bekannt sind, regelmäßig unzulässig. Andere Kreditinstitute bspw. sollten Axel Fischer nun nicht auf eine Neukunden-Ausmusterungsliste gesetzt haben für den hypothetischen Fall, dass unsere fiktive Hausbank ihm kündigt und er eine neue sucht.

Informationen über strafrechtliche Verurteilungen, auch risikorelevante, dürfen auch nicht unbegrenzt gespeichert werden. Hier sind die datenschutzrechtlichen Vorgaben mit den Dokumentationsvorgaben des § 8 GwG in Einklang zu bringen.

Art. 10 DSGVO verlangt zudem erhöhte Schutzmaßnahmen für Informationen über strafrechtliche Verurteilungen. Das bedeutet, auf diese sensiblen Daten (z. B. auf die Risikobewertung und dieser zugrunde liegenden Informationen Axel Fischer betreffend) sollten Zugriffsberechtigungen nur nach dem Need-To-Know-Prinzip erteilt, Protokollierung dieser Zugriffe sichergestellt und ggfs. weitere technische oder organisatorische Schutzmaßnahmen ergriffen werden.

Fazit

Effektive Geldwäscheprävention erfordert präzise und oft sensible Informationen, aber immer innerhalb klar definierter datenschutzrechtlicher Leitplanken.

Sie wollten die Datenschutzkonformität Ihrer Geldwäscheprozesse bewerten oder Schulungen für Ihr KYC-Team durchführen? Sprechen Sie uns gern an. Alle Entwicklungen im Datenschutz können Sie auch in unserem Newsletter verfolgen.

Datenschutz und klinische Forschung: DGIM‑HBDI‑Leitfaden Pflichtwerk für pharmazeutische Hersteller

Posted on 11. Februar 202611. Februar 2026 by Christian Klos

Mit ihrem neuen Leitfaden „Datenschutz in der medizinischen Forschung“ geben die Deutsche Gesellschaft für Innere Medizin (DGIM) und der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) medizinisch Forschenden erstmals ein umfassendes, praxisorientiertes Regelwerk an die Hand, das hilft, Forschungsprojekte mit Gesundheitsdaten rechtssicher zu planen und durchzuführen.

Der Bedarf dafür ist groß: Gesundheitsdaten sind nach DSGVO besonders sensibel, gleichzeitig aber essenziell für die Weiterentwicklung von Diagnostik, Therapien und Versorgungsmodellen. Viele Forschungsteams berichten über Unsicherheiten bei Erhebung, Speicherung, Weitergabe und Anonymisierung, was Projekte verzögert und Ressourcen bindet. Dies nicht zuletzt vor dem Hintergrund unklarer und teils widersprüchlicher behördlicher Anforderungen, insbesondere bei transnationalen klinischen Studien.

Großer Bedarf nach Klarheit

Der Leitfaden entstand vor dem Hintergrund komplexer rechtlicher Rahmenbedingungen und uneinheitlicher Auslegungen durch Datenschutzbehörden. Insbesondere:

Strenge Anforderungen an die Verarbeitung sensibler personenbezogener Daten
Uneinheitliche Bewertung von Anonymisierung und Pseudonymisierung
Herausforderungen bei multizentrischen Studien
Unsicherheiten bei der Abgrenzung von Forschung vs. Qualitätssicherung und „Secondary Use“

Die gemeinsame Arbeit von DGIM und HBDI stellt eine in dieser Form einzigartige Kooperation dar, die darauf abzielt, praxisnahe, realitätsbezogene Lösungen zu entwickeln.

Welche Orientierung der Leitfaden bietet

1. Klare datenschutzrechtliche Grundlage für die Forschungspraxis

Der Leitfaden erklärt kompakt:

welche Daten zu welchem Zweck verarbeitet werden dürfen,
wann Anonymisierung erforderlich ist und welche Anforderungen daran zu stellen sind,
wie Einwilligungen gestaltet sein sollten,
welche Rollen und Verantwortlichkeiten bestehen können.

Besonders wertvoll ist die detaillierte Betrachtung datenschutzrechtlicher Fragen in KI‑basierten Projekten, z. B. in der Bildanalyse oder Befundinterpretation.

2. Vier reale Fallbeispiele (Use Cases)

Die Fallbeispiele decken u. a. folgende Szenarien ab: KI‑gestützte Darmkrebsvorsorge, Pathologie, KI- unterstützte Intensivmedizin sowie die Abgrenzung zwischen Forschung und Qualitätssicherung. Für jedes Beispiel liefert der Leitfaden konkrete datenschutzkonforme Lösungsvorschläge.

3. Datenschutz in multizentrischen Projekten

Multizentrische Forschung ist Standard, aber datenschutzrechtlich komplex. Der Leitfaden zeigt, wie:

Pseudonymisierung bzw. Anonymisierung,
föderierte Datenmodelle,
abgestimmte Datenschutzkonzepte und
vertragliche Regelungen

einen sicheren und effizienten Datenaustausch erlauben.

4. Ein „Living Document“

Der Leitfaden wird kontinuierlich weiterentwickelt. Forschende können eigene Fälle einreichen, die in künftigen Versionen berücksichtigt werden.

Warum pharmazeutische Hersteller besonders profitieren

1. Rechtssicherheit in klinischen Studien

Pharmaunternehmen profitieren von klaren Vorgaben zu Datenaustausch, Rollenverteilungen und Pseudonymisierung, ideal für multizentrische Studien. Herausfordernd wird aber bleiben, dass die Aufsichtsbehörden anderer Länder sich nicht zwingend den hier vertretenen Rechtsauffassungen anschließen werden. Allerdings haben forschende pharmazeutische Unternehmen hiermit eine bessere Argumentationsgrundlage.

2. Schnittstelle zwischen DSGVO, AMG/MPG und GCP

Da Pharmahersteller streng reguliert sind, schafft der Leitfaden wertvolle Orientierung, um datenschutzrechtliche und sektorspezifische Anforderungen zu verknüpfen.

3. Unterstützung bei KI‑gestützten Forschungsansätzen

Der Leitfaden liefert Antworten auf Fragen zur Anonymität medizinischer Bilddaten und zeigt, wie KI‑Projekte rechtskonform umgesetzt werden können.

4. Stabilität in Forschungskooperationen

Klare Datenschutzkonzepte erleichtern die Zusammenarbeit zwischen Pharmaunternehmen, Kliniken, Laboren und CROs.

Fazit

Der DGIM‑HBDI‑Leitfaden ist ein wichtiger Baustein, um Gesundheitsdaten rechtssicher in der Forschung zu verarbeiten. Er bringt Klarheit, verringert Unsicherheiten und unterstützt medizinische Einrichtungen und die Life‑Science‑Industrie dabei, datenschutzkonforme und zugleich innovationsfreundliche Forschungsprozesse zu gestalten.

Sie planen ein Forschungsprojekt oder eine klinische Studie?
Wir unterstützen Sie bei Datenschutz‑Konzept, Rollenmodell und Vertragsgestaltung – sprechen Sie uns an.

Abonnieren Sie auch unseren Newsletter, um stets auf dem Laufenden zu bleiben bei Datenschutz-, KI-Recht und Compliance.

Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Posted on 23. Januar 2026 by Christian Klos

Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Cloud-Speicher sind aus dem modernen Unternehmensalltag nicht mehr wegzudenken. Die dezentrale Speicherung erlaubt eine einfache und robuste Datensicherung sowie eine simple Verfügbarmachung von Daten innerhalb der Belegschaft.

Das Thema Datenschutz wird dabei jedoch häufig vernachlässigt. Dabei müssen sich Unternehmen neben technischen auch rechtlichen Herausforderungen stellen, insbesondere im Hinblick auf die Einhaltung der Datenschutzgrundverordnung (DSGVO).

Verstöße gegen diese können zu hohen Bußgeldern sowie zum Vertrauensverlust bei Kunden und Partnern führen.

Dieser Artikel erläutert, welche Anforderungen an eine DSGVO-konforme Cloud-Nutzung gestellt werden, welche Risiken bestehen und wie Unternehmen mit der richtigen Anbieterwahl, vertraglichen Absicherung und Sicherheitsmaßnahmen ihre Cloud-Daten effektiv schützen können.

Das Wichtigste in Kürze

Wählen Sie Cloud-Anbieter mit Sitz in Deutschland oder der EU, um Drittlandübermittlungen zu minimieren und datenschutzrechtliche Risiken zu reduzieren.
Schließen Sie mit Ihrem Cloud-Anbieter in jedem Fall einen Auftragsverarbeitungsvertrag (AVV) ab.
Setzen Sie wichtige technische und organisatorische Maßnahmen (TOM) wie die Nutzung von Ende-zu-Ende-Verschlüsselung für sensible Daten, Multi-Faktor-Authentifizierung und das Management von Benutzerrollen und Zugriffsrechten um.
Bei US-Anbietern wie Microsoft oder Google prüfen Sie, ob das EU-US Data Privacy Framework greift oder zusätzliche Maßnahmen und Standardvertragsklauseln erforderlich sind.
Geschäftsführer können bei Datenschutzverstößen persönlich haften, insbesondere bei Organisationsverschulden oder mangelhafter Aufsicht. Auch IT-Verantwortliche können in Einzelfällen haftbar gemacht werden, wenn ihnen ein persönliches Fehlverhalten nachgewiesen wird.

Cloud-Computing und Datenschutz – Wichtige Grundlagen

Cloud Computing bezeichnet die Bereitstellung von Speicher, Rechenleistung und Anwendungen über das Internet. Statt eigene Server zu betreiben, greifen Unternehmen auf die IT-Infrastruktur großer Anbieter wie Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform oder die Telekom Open Telekom Cloud zu. Die Vorteile liegen auf der Hand: Skalierbarkeit, Kostentransparenz und Zugriff von überall.

Dabei werden Daten nicht mehr im eigenen Rechenzentrum gespeichert, sondern dezentral in verteilten Rechenzentren. Für Nutzer ist dabei oft nicht unmittelbar erkennbar, wo ihre Dateien physisch liegen.

Personenbezogene Daten, die in der Cloud gespeichert werden, unterliegen dabei den strengen Auflagen der DSGVO unabhängig davon, welchen Dienst Sie nutzen.

Beispiele von personenbezogenen Daten in der Cloud:

Kundendaten aus CRM-Systemen
Mitarbeiterdaten für Lohnabrechnung und HR
E-Mail-Kommunikation und Support-Tickets
Logdaten mit IP-Adressen

Arten von Cloud-Diensten (IaaS, PaaS, SaaS)

Die Cloud-Nutzung lässt sich in drei klassische Service-Modelle unterteilen:

Infrastructure as a Service (IaaS): Sie mieten virtuelle Server, Speicherplatz und Netzwerkressourcen. Beispiele sind AWS EC2, Hetzner Cloud oder IONOS Cloud. Sie verwalten Betriebssystem, Patches und Anwendungen selbst.

Platform as a Service (PaaS): Der Anbieter stellt eine Entwicklungsplattform bereit. Beispiele sind Heroku oder Google App Engine. Sie kümmern sich nur noch um Ihre Anwendung, nicht um die darunterliegende Infrastruktur.

Software as a Service (SaaS): Fertige Anwendungen werden über den Browser genutzt. Beispiele sind Microsoft 365, Salesforce, Dropbox oder Online-Office-Lösungen wie Google Workspace.

Wichtig: Die technische Verantwortung verteilt sich je nach Modell unterschiedlich zwischen Anbieter und Kunde. Die datenschutzrechtliche Verantwortung nach Art. 4 Nr. 7 DSGVO bleibt jedoch immer beim Unternehmen.

Diese Unterschiede werden bei der Auswahl und den technischen und organisatorischen Maßnahmen (TOM) relevant.

Datenschutzrechtliche Grundlagen für die Cloud (DSGVO & BDSG)

Die DSGVO gilt seit dem 25. Mai 2018 in der gesamten EU und wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Beide Regelwerke bilden den rechtlichen Rahmen für den Datenschutz bei Cloud Computing.

Relevante DSGVO-Artikel für Cloud Datenschutz:

Art. 5: Grundsätze der Verarbeitung – Zweckbindung, Datenminimierung, Integrität
Art. 6: Rechtsgrundlagen – Legitimation jeder Datenverarbeitung
Art. 28: Auftragsverarbeitung – AVV-Pflicht mit Cloud-Anbieter
Art. 32: Sicherheit der Verarbeitung – Technische und organisatorische Maßnahmen
Art. 44 ff.: Drittlandsübermittlung – Regeln für Datentransfer außerhalb EU

Cloud-Anbieter sind regelmäßig Auftragsverarbeiter (Processor). Das Unternehmen, das den Dienst nutzt, bleibt Verantwortlicher (Controller) mit allen Pflichten und Haftungsrisiken.

Personenbezogene und besondere Kategorien von Daten

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen:

Name
E-Mail-Adresse
Telefonnummer
IP-Adressen und Standortdaten
Kundennummern und Nutzer-IDs
Fotos und biometrische Daten

Besondere Kategorien nach Art. 9 DSGVO unterliegen einem erhöhten Schutzniveau:

Gesundheitsdaten (z. B. Patientenakten in Praxissoftware)
Religionszugehörigkeit
Gewerkschaftszugehörigkeit
Genetische und biometrische Daten
Daten zur sexuellen Orientierung

Unterschied Anonymisierung vs. Pseudonymisierung: Anonymisierte Daten fallen nicht mehr unter die DSGVO, da kein Personenbezug herstellbar ist, sofern eine Re-Identifizierung auch mit zusätzlichen Informationen praktisch ausgeschlossen ist. Pseudonymisierte Daten (z. B. mit verschlüsselter ID statt Name) bleiben personenbezogen und unterliegen weiterhin dem Datenschutz. Achtung: Die Abgrenzung kann im Einzelfall komplex sein.

DSGVO-Anforderungen bei der Nutzung von Cloud-Anbietern

Wer Cloud-Dienste nutzt, muss die Grundprinzipien der DSGVO einhalten. Diese Anforderungen gelten unabhängig davon, ob Sie Microsoft 365, AWS oder einen kleinen spezialisierten Anbieter nutzen.

Die DSGVO-Grundprinzipien (Art. 5):

Rechtmäßigkeit, Fairness, Transparenz: Verarbeitung nur auf legaler Basis, offen kommuniziert
Zweckbindung: Daten nur für festgelegte, legitime Zwecke nutzen
Datenminimierung: Nur erforderliche Daten erheben
Richtigkeit: Daten aktuell und korrekt halten
Speicherbegrenzung: Löschung, wenn nicht mehr benötigt
Integrität und Vertraulichkeit: Schutz vor unbefugtem Zugriff
Rechenschaftspflicht: Nachweisbarkeit der Einhaltung

Die Informationspflichten nach Art. 13/14 DSGVO verlangen zudem unter Umständen, dass Betroffene über die Cloud-Nutzung informiert werden.

Auftragsverarbeitung und AV-Vertrag

Bei der Nutzung von Cloud-Dienstleistern liegt in den meisten Fällen eine Auftragsverarbeitung vor. Das bedeutet: Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist zwingend erforderlich.

Mindestinhalte eines AVV:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen (Kunden, Mitarbeitende)
Pflichten des Auftragsverarbeiters
Regelungen zu Löschung und Rückgabe
Unterstützung bei Betroffenenrechten
Technisch-organisatorische Maßnahmen (TOM)
Liste der Unterauftragsverarbeiter

Große Anbieter wie Microsoft, Google oder Amazon stellen vorformulierte AV-Verträge bereit. Diese müssen aktiv abgeschlossen oder in den Kontoeinstellungen bestätigt werden, ein bloßes Nutzen des Dienstes reicht nicht.

Ohne AVV ist der Einsatz rechtswidrig. Aufsichtsbehörden haben bereits Bußgelder für die unzulässige Nutzung von Cloud- und Tracking-Diensten verhängt.

Datenübermittlung in Drittländer (USA, UK, etc.)

Der Transfer von Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA, ist nur dann erlaubt, wenn die strengen Anforderungen der Artikel 44 ff. der DSGVO eingehalten werden.

Dabei gibt es verschiedene rechtliche Grundlagen, die eine solche Übermittlung legitimieren können.

Ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission bescheinigt, dass ein Drittland ein vergleichbares Datenschutzniveau wie die EU bietet, sodass personenbezogene Daten aus der EU dorthin übermittelt werden dürfen. Beispiele für Länder, für die aktuell ein Angemessenheitsbeschluss gilt, sind unter anderem:

Schweiz
Kanada (für kommerzielle Organisationen)
Japan
Neuseeland
Israel
Argentinien
Südkorea
Großbritannien (nach dem Brexit)
Uruguay

Diese Liste kann sich ändern, daher ist es wichtig, regelmäßig die offiziellen Informationen der EU-Kommission zu prüfen.

Seit Juli 2023 können Unternehmen zudem auf das EU-US Data Privacy Framework (DPF) zurückgreifen, das eine rechtssichere Übermittlung von personenbezogenen Daten in die USA ermöglicht. Voraussetzung ist, dass der jeweilige US-Anbieter aktiv nach dem EU-US Data Privacy Framework zertifiziert ist.

Dies vereinfacht insbesondere die Nutzung von großen amerikanischen Anbietern wie Google, Dropbox oder Amazon (AWS) erheblich. Allerdings besteht die Möglichkeit, dass der Angemessenheitsbeschluss für das DPF mittelfristig wieder entzogen werden könnte.

Liegt kein Angemessenheitsbeschluss vor, können Standardvertragsklauseln (SCC) genutzt werden, die einen DSGVO-konformen Datenschutz zusichern. Problematisch für Unternehmen ist jedoch, dass sie in der Verantwortung sind, sicherzustellen, dass dieses tatsächlich eingehalten wird. In der Praxis ist die Umsetzung der zusätzlichen Schutzmaßnahmen häufig komplex und mit erheblichem Prüfaufwand verbunden. Ein Restrisiko bleibt bestehen, insbesondere bei Zugriffsmöglichkeiten ausländischer Behörden.

Der beste Weg, um dieses Risiko zu reduzieren, ist die Nutzung von EU-, oder besser: in Deutschland basierten Anbietern wie IONOS, der Telekom oder Hetzner.

Neben diesen häufig genutzten rechtlichen Grundlagen gibt es noch einen Sonderfall für die konzerninterne Datenübermittlungen über die EU-Grenzen hinweg, wenn sogenannte Binding Corporate Rules (BCR) genutzt werden.

Datensicherheit in der Cloud: Technische und organisatorische Maßnahmen

Art. 32 DSGVO verpflichtet Unternehmen und Cloud-Anbieter, ein „angemessenes Schutzniveau” sicherzustellen. Was angemessen ist, hängt ab von:

Risiko für die Rechte der Betroffenen
Stand der Technik
Implementierungskosten
Art und Umfang der Daten

Im Folgenden fassen wir die wichtigsten technischen und organisatorischen Maßnahmen für die DSGVO-konforme Nutzung von Cloud-Anbietern in Kürze zusammen.

Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Protokollierung

Verschlüsselung:

Data at Rest: Verschlüsselung gespeicherter Daten in Rechenzentren (serverseitige Verschlüsselung)
Data in Transit: TLS 1.2/1.3 für alle HTTPS-Verbindungen
Ende-zu-Ende-Verschlüsselung: Bei besonders sensiblen Dokumenten Tools wie Boxcryptor, Tresorit oder Nextcloud E2E-Optionen nutzen

Zugriffskontrolle:

Starke Passwörter mit Passwortmanager
Multi-Faktor-Authentifizierung (MFA) für alle Konten bei Microsoft, Google, AWS
Authenticator-Apps oder FIDO2-Sicherheitsschlüssel statt SMS

Protokollierung und Monitoring:

Regelmäßige Prüfung von Zugriffen, Logins und Freigaben
Security Center in Microsoft 365 nutzen
AWS CloudTrail für Audit-Logs aktivieren
Auffällige Aktivitäten automatisch melden lassen

Organisatorische Maßnahmen: Prozesse, Rollen, Schulungen

Rollen und Berechtigungskonzepte:

Prinzip der minimalen Rechte (Least Privilege)
Getrennte Rollen für Admin, HR, Vertrieb, IT
Keine geteilten Konten, jeder Nutzer hat eigenen Zugang

Richtlinien für sichere Cloud-Nutzung:

Verbot privater Dropbox-Accounts für Kundendaten
Pflicht zur Nutzung des Unternehmens-OneDrive
Klare Regeln für mobiles Arbeiten und Remote Access

Schulungen (mindestens jährlich):

Phishing-Erkennung
Sichere Passwörter und Passwortmanager
Umgang mit vertraulichen Dokumenten
Meldewege bei Verdacht auf Sicherheitsvorfälle

Incident-Response-Prozesse:

Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde melden (Art. 33 DSGVO)
Interner Meldeprozess mit klaren Zuständigkeiten
Dokumentation aller Vorfälle

Auswahl eines DSGVO-konformen Cloud-Anbieters

Die Anbieterauswahl ist ein zentraler Schritt zur DSGVO-Compliance. Entscheidend sind vor allem Standort, Sicherheitsniveau und Vertragsgestaltung.

Seit dem EuGH-Urteil Schrems II (Juli 2020) und der Einführung des EU-US Data Privacy Framework mussten viele Unternehmen ihre Cloud-Verträge überprüfen. Die Auswahl eines DSGVO-konformen Anbieters spart langfristig Zeit und vermeidet rechtliche Risiken.

Standort von Anbieter und Rechenzentren

Relevant sind sowohl der Unternehmenssitz als auch der physische Speicherort der Daten. Ein deutscher Anbieter mit Hosting in US-Rechenzentren bietet weniger Schutz als ein EU-Hosting.

Auswahlkriterien:

Serverstandort in der EU/EWR
Kein Durchgriff von Drittstaaten-Behörden
Transparenz über Subunternehmer und deren Standorte
Vertraglich garantierte Datenlokalisierung

Labels und Initiativen:

Trusted Cloud des BMWK als Orientierungshilfe
GAIA-X als europäisches Cloud-Projekt
Made in Germany als Qualitätsmerkmal

Zertifikate und Sicherheitsnachweise

Zertifikate signalisieren IT-Sicherheit und erleichtern die Anbieterprüfung:

Zertifikate und ihre Aussagekraft:

ISO/IEC 27001: Etabliert ein Informationssicherheits-Managementsystem.
ISO/IEC 27018: Schützt personenbezogene Daten in der Cloud.
BSI C5: Erfüllt cloud-spezifische Sicherheitsanforderungen des BSI.
SOC 2: US-Standard für Sicherheit, Verfügbarkeit und Vertraulichkeit.
Trusted Cloud Datenschutz Profil (TCDP): Deutscher Datenschutz-Standard für Clouds.
Cloud Computing Zertifikat: Nachweis spezifischer Cloud-Kompetenzen.

Wichtig: ISO 27001 ist ein starkes Signal für IT-Sicherheit, aber kein automatischer Nachweis für vollständige DSGVO-Konformität. Ergänzend sollten TOM-Beschreibungen und Datenschutzbestimmungen geprüft werden.

Achten Sie darauf, dass Zertifikate regelmäßig erneuert werden.

Nutzungsbedingungen, AGB und Datenschutzbestimmungen

AGB und Datenschutzrichtlinien regeln, welche Daten zu welchen Zwecken verarbeitet werden. Prüfen Sie kritisch:

Prüffragen für AGB und Datenschutzbestimmungen:

Werden Daten für eigene Zwecke des Anbieters genutzt (Analyse, Marketing)?
Welche Löschfristen gelten?
Wer sind die Unterauftragsverarbeiter?
Welche Rechte hat der Anbieter an den Inhalten?
Sind die Datenschutzstandards mit den eigenen Bestimmungen vereinbar?

Empfehlungen:

AVV muss integraler Vertragsbestandteil sein
Widersprüchliche AGB-Klauseln vermeiden
Vor Vertragsabschluss Rechtsanwalt oder Datenschutzbeauftragte einbeziehen
Bei großen SaaS-Projekten (CRM, ERP, HR) besondere Sorgfalt walten lassen

Beispiele für EU-basierte Cloud-Anbieter

Die folgenden Anbieter haben ihren Unternehmensstandort sowie ihre Serverstandorte in der EU und können daher bei der Wahl eines geeigneten Dienstes gesondert berücksichtigt werden. Die reine Anbieterwahl ist dabei jedoch keine Garantie für eine DSGVO-konforme Nutzung, wenn nicht auch die anderen Aspekte wie technische und organisatorische Maßnahmen (TOM) beachtet werden.

Beispiele für europäische Anbieter:

IONOS Cloud
Telekom MagentaCLOUD
Nextcloud-Hosting in deutschen Rechenzentren
Hetzner Cloud

Haftung und Betroffenenrechte bei Datenschutzverstößen

Trotz Auslagern in die Cloud bleibt das Unternehmen Verantwortlicher und haftet bei Datenschutzverstößen. Ein offener S3-Bucket oder falsch konfigurierte Freigaben können bereits zu Strafen durch Aufsichtsbehörden führen.

Die Haftungsverteilung zwischen Verantwortlichem und Auftragsverarbeiter ist in der DSGVO geregelt. Vertragliche Haftungsbeschränkungen gegenüber Betroffenen wirken nur eingeschränkt.

Neben Bußgeldern drohen:

Schadensersatzansprüche von Betroffenen (Art. 82 DSGVO)
Reputationsschäden
Abmahnungen und Unterlassungsklagen

Datenschutzverstöße in der Cloud: Meldepflichten und Reaktion

Eine meldepflichtige Datenschutzverletzung nach Art. 4 Nr. 12 DSGVO liegt vor bei:

Unbefugtem Zugriff auf personenbezogene Daten
Verlust oder Diebstahl von Daten
Unbeabsichtigte Offenlegung (z. B. durch Fehlkonfiguration)
Gehackte Cloud-Konten

Die 72-Stunden-Frist: Ab Kenntnis der Verletzung müssen Sie die zuständige Aufsichtsbehörde informieren.

Vereinbarungen mit dem Cloud-Anbieter:

Klare Regelung zur Meldung von Sicherheitsvorfällen im AVV
Security Incident Notification
Zugang zu Statusseiten und Ticket-Systemen

Checkliste bei Cloud-Datenpanne:

Vorfall eingrenzen und dokumentieren
Betroffene Zugänge sperren
Protokolle und Logs prüfen
Risiko für Betroffene bewerten
Meldung an Aufsichtsbehörde vorbereiten
Ggf. Betroffene informieren

Haftungsfragen gegenüber Kunden, Mitarbeitenden und Behörden

Kernaussagen zur Haftung:

Unternehmen haften gegenüber Kunden und Mitarbeitenden bei Verstößen
Schadensersatz umfasst auch immateriellen Schaden
Haftungsbeschränkungen wirken regelmäßig nur im Innenverhältnis zwischen Auftraggeber und Auftragsverarbeiter, nicht jedoch gegenüber betroffenen Personen oder Aufsichtsbehörden
Gegenüber Betroffenen und Behörden bleiben Sie voll verantwortlich
Vorstände und Geschäftsführer können persönlich haften

Risikominimierung:

Technische Maßnahmen konsequent umsetzen
Gründliche Anbieterprüfung dokumentieren
Cyber-Versicherung prüfen
Regelmäßige Audits durchführen

Fazit: So gelingt Cloud Datenschutz in der Praxis

DSGVO-konforme Cloud-Nutzung ist möglich und für viele Unternehmen durch Remote Work und Homeoffice unverzichtbar geworden. Durch eine sorgfältige Anbieterauswahl, sichere Verträge, die richtige Konfiguration, technische und organisatorische Maßnahmen (TOM) und eine laufende Überprüfung der bestehenden Prozesse können Unternehmen ihre Risiken managen und die Vorteile von Cloud-Computing bestmöglich nutzen.

Kommt es hingegen zu Datenschutzverstößen, liegt die Verantwortung beim Unternehmen. Es drohen Bußgelder und Haftungsansprüche von Betroffenen. Nehmen Sie daher das Thema Datenschutz in der Cloud unbedingt ernst.

Lassen Sie sich im Zweifel professionell beraten. Wir unterstützen Sie dabei, Cloud-Anbieter und andere Dienstleister DSGVO-konform in Ihre Unternehmensprozesse einzubinden, potenzielle Schwächen und Haftungsrisiken zu minimieren und den Datenschutz in Ihrem Unternehmen insgesamt auf ein solides Fundament zu stellen.

FAQ zu Cloud Datenschutz (häufige Fragen)

Ja, die Nutzung ist grundsätzlich möglich, wenn bestimmte Voraussetzungen erfüllt werden. Unternehmen müssen einen DSGVO-konformen AV-Vertrag abschließen, die Datenübermittlung in die USA nach Art. 44 ff. DSGVO absichern (derzeit über das EU-US Data Privacy Framework) und technische sowie organisatorische Schutzmaßnahmen implementieren. Zudem sollten die Aufsichtsbehörden-Empfehlungen beachtet und dokumentiert werden.

Ja, sofern in der Cloud personenbezogene Daten verarbeitet werden, muss die jeweilige Verarbeitungstätigkeit nach Art. 30 DSGVO dokumentiert werden. In der Praxis wird häufig pro Geschäftsprozess (z. B. „E-Mail-Kommunikation mit Microsoft 365”, „Kundenverwaltung im CRM X”) ein Eintrag angelegt, in dem die Nutzung des jeweiligen Cloud-Dienstes einschließlich Anbieter, Speicherort und Rechtsgrundlage beschrieben ist.

Nein, ein bloßes Werbeversprechen genügt nicht. Unternehmen müssen selbst prüfen und dokumentieren, ob der Anbieter tatsächlich die Anforderungen erfüllt – etwa durch Einsicht in AV-Vertrag, TOM-Beschreibungen, Zertifikate (ISO 27001, BSI C5 etc.), Angaben zum Datenstandort sowie zum Umgang mit Unterauftragsverarbeitern. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO liegt beim Unternehmen.

Die rein persönliche oder familiäre Nutzung (Haushaltsausnahme nach Erwägungsgrund 18 DSGVO) fällt in der Regel nicht unter die DSGVO. Sobald jedoch personenbezogene Daten außerhalb des rein privaten Bereichs verarbeitet werden, etwa Kundendaten eines Kleinunternehmens in einem privaten Cloud-Konto, greift die DSGVO vollständig und es gelten die gleichen Anforderungen wie für größere Unternehmen.

Ja, nach Art. 13 und 14 DSGVO müssen Betroffene informiert werden, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden, welche Empfänger und Auftragsverarbeiter eingebunden sind und ob eine Übermittlung in Drittländer stattfindet. In der Praxis wird dies über eine Datenschutzerklärung (z. B. auf der Website) und ergänzende Hinweise in Verträgen oder Formularen umgesetzt, in denen der Einsatz bestimmter Cloud-Dienste (z. B. Newsletter-Tool, Terminbuchungsplattform, CRM) transparent gemacht wird.

NIS2 und DSGVO im Team für mehr Cybersicherheit

Posted on 8. Dezember 2025 by Ina Rothe

Warum NIS2 für Deutschland ein Thema ist

In Deutschland war die Umsetzung der europäischen NIS2-Richtlinie (EU 2022/2555) lange verzögert, doch Anfang Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie verabschiedet. Es hebt die Anforderungen an die Cybersicherheit auf eine neue Ebene. Damit sind ab sofort und ohne Übergangsfrist viele bisher von NIS1 unbetroffene Unternehmen plötzlich adressiert.

NIS2 hat zum Ziel, die Cybersicherheit und Resilienz kritischer und wichtiger Dienstleister in der EU deutlich zu erhöhen. Betroffen sind ca. 29.000 Einrichtungen in Deutschland allein. NIS2 betrifft dabei nicht nur Netzwerke, Server und Systeme, sondern tangiert in vielen Fällen auch personenbezogene Daten. Damit kreuzen sich die Ziele der NIS2 mit denen der Datenschutz-Grundverordnung (DSGVO). Das macht NIS2 relevant für Datenschutz und Compliance auch dort, wo bislang vielleicht keine klassischen IT-Sicherheitsfragen betrachtet wurden.

Wo NIS2 und DSGVO sich überschneiden

Obwohl NIS2 (ein Regelwerk für Cybersicherheit) und DSGVO (ein Datenschutzrecht) unterschiedliche Schutzzwecke verfolgen, gibt es in der praktischen Umsetzung zahlreiche Schnittmengen, wie die nachfolgende Übersicht zeigt:

Bereich	DSGVO	NIS2	Überschneidung / Synergien
Technische & organisatorische Maßnahmen (TOM)	Art. 32 DSGVO verlangt angemessene Sicherheitsmaßnahmen (z. B. Verschlüsselung, Zugriffskontrollen, Integrität, Verfügbarkeit)	NIS2 (u.a. Art. 21) fordert Risikomanagement, System-Sicherheit, Zugriffskontrollen, Schwachstellen-Management, Schutz der Lieferkette, Business Continuity	Ein gemeinsames Informationssicherheitsmanagement (z. B. ISMS nach ISO 27001) kann viele Anforderungen beider Regelwerke gleichzeitig erfüllen.
Meldepflichten bei Vorfällen	Art. 33/34 DSGVO: Datenschutzverletzungen müssen innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden	NIS2 verlangt Meldung gravierender Sicherheitsvorfälle (IT-Sicherheitsvorfälle) innerhalb i.d.R. 24 Stunden an die zuständige Cyber-Sicherheitsbehörde	Ein Sicherheitsvorfall kann gleichzeitig eine Datenschutzverletzung sein. Unternehmen brauchen integrierte Prozesse, die beide Meldepflichten bedienen.
Risikoanalyse & Governance	DSGVO verlangt risikobasierte Absicherung der Verarbeitung und Rechenschaftspflicht (Accountability, Dokumentation)	NIS2 verlangt Risikomanagement, Verantwortlichkeit der Leitung, Dokumentation und Compliance-Nachweise	Die Geschäftsleitung erhält eine klare Gesamtverantwortung, Transparenz und Nachweispflicht für Schutz der Daten und Systeme.

Damit wird klar: NIS2 ist kein „nice-to-have“ für IT-Security-Profis. Es verlangt eine ganzheitliche Sicherheits- und Datenschutzstrategie. Wo NIS2 greift, kann DSGVO nicht ignoriert werden. Und umgekehrt: Wo personenbezogene Daten verarbeitet werden, sollte Sicherheits- und Resilienzdenken verpflichtend sein.

Wo sich NIS2 und DSGVO unterscheiden

Trotz der Überschneidungen bleiben wesentliche Unterschiede bei Schutzgegenstand, Sanktionen und Aufsichtsbehörden:

Bereich	DSGVO	NIS2
Schutzzweck	Die DSGVO betrifft personenbezogene Daten und schützt die Grundrechte natürlicher Personen.	NIS2 betrifft Informationssysteme (Systeme, Netzwerke, Dienste), wobei personenbezogene wie auch nicht-personenbezogene Daten von NIS2-Maßnahmen betroffen sein können, mit dem Ziel, Versorgung und Funktionalität von kritischen Infrastrukturen und wichtigen Diensten sicherzustellen.
Meldepflichten bei Vorfällen	innerhalb von 72 Stunden an die zuständige Datenschutzaufsicht	innerhalb von 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
Sanktionen	DSGVO-Verstöße werden von den Datenschutzaufsichten der Länder und des Bundes geahndet	NIS2-Verstöße ahndet das BSI.

Was zu tun ist

Unternehmen sollten proaktiv handeln und jetzt bestehende Prozesse auf den Prüfstand stellen:

Existieren strukturierte Prozesse für Risikoanalyse, Vorfallsmanagement und -meldung sowie Incident Response?
Gibt es eine klare Rollenverteilung und Verantwortlichkeit auf Leitungsebene?
Werden bestehende technische und organisatorische Maßnahmen der DSGVO (z. B. Verschlüsselung, Zugriffskontrollen, Wiederherstellbarkeit) konsequent umgesetzt und dokumentiert?
Sind Dienstleister und Lieferketten ausreichend abgesichert? (auch relevant, wenn externe IT-Dienstleister eingebunden sind)

Gerade wegen der Schnittstellen zwischen NIS2 und DSGVO sollten die betrieblichen Datenschutzbeauftragten (DSB) nicht am Rand stehen, sondern zentral in die Compliance- und Security-Governance eingebunden sein. Dabei sind aus unserer Sicht folgende Zeitpunkte und Aufgaben besonders relevant:

Frühzeitig bei der Risikoanalyse und Planung: Schon bei der Risikoanalyse und Definition von Sicherheits- bzw. Schutzmaßnahmen sollte der DSB mitwirken, um zu prüfen, ob und wie personenbezogene Daten betroffen sind und welche Datenschutzanforderungen (z. B. Zweckbindung, Datenminimierung, Dokumentation) zu beachten sind.
Bei der Auswahl und Steuerung externer Dienstleister / Lieferketten: Wenn Dritte in die Informationssysteme eingebunden sind (z. B. Hosting, Cloud-Dienste, IT-Infrastruktur), muss der DSB, gemeinsam mit dem IT-Sicherheitsbeauftragten, sicherstellen, dass Auftragsverarbeitungsverträge und technische/organisatorische Schutzmaßnahmen mit DSGVO und NIS2 kompatibel sind.
Bei Vorfall-Management & Incident Response: Im Falle eines Sicherheitsvorfalls, der gleichzeitig eine Datenschutzverletzung sein könnte, braucht es koordinierte Meldungs- und Reaktionsprozesse: Der DSB sollte hier mit an Bord, um eine etwaige DSGVO-Meldung korrekt durchzuführen.
Bei Governance & Dokumentation: Die Verantwortung der Geschäftsleitung für Sicherheit und Compliance gemäß NIS2 muss durch Governance-Strukturen getragen werden. Der DSB kann, zusammen mit einem IT-Sicherheitsbeauftragten, sicherstellen, dass Datenschutz und Sicherheitsanforderungen nicht getrennt, sondern integriert gemanagt werden.
Bei Schulungen und Sensibilisierung: Sowohl DSGVO als auch NIS2 verlangen Awareness auf Management- und Mitarbeiterebene. Der DSB sollte maßgeblich daran mitwirken, dass Datenschutz- und Sicherheitsbewusstsein gleichermaßen verbreitet werden.

Kurz gesagt: Der Datenschutzbeauftragte sollte nicht nur „Datenschutz“ im engeren Sinne betreuen, im Kontext von NIS2 ist er Teil eines integrierten Compliance- und Sicherheitsrahmens.

Fazit

Gute NIS2-Compliance kann Cybersicherheit und Datenschutz stärken. Unternehmen, die NIS2 und DSGVO gemeinsam betrachten, gewinnen einen klaren Vorteil: weniger Doppelarbeit, bessere Sicherheitslage, geringeres Risiko für Datenschutzverletzungen und Betriebsunterbrechungen.

Der neue gesetzliche Rahmen macht klar: Cybersicherheit ist Leitungsangelegenheit. Und Datenschutz sollte integraler Bestandteil einer soliden Sicherheitsstrategie sein.

Für alle Verantwortlichen (Geschäftsführungen, ISB, DSB) heißt das: Jetzt handeln! Und einen wichtigen Hebel für nachhaltige Sicherheit und Compliance im digitalen Zeitalter nutzen.

Falls Sie Interesse haben, können wir gern darüber sprechen, wie Sie Ihre NIS2- und DSGVO-Prozesse gestalten oder harmonisieren können.

E-Mail-Werbung jetzt ohne Einwilligung?

Posted on 17. November 2025 by Christian Klos

Ein neues Urteil des EuGH klärt viele Fragen zur E-Mail-Werbung

Hintergrund

In seinem Urteil vom 13. November 2025 nimmt der EuGH Stellung zu zwei Fragen im Rahmen einer Vorabentscheidung, welche ihm durch ein nationales rumänisches Gericht zur Beantwortung vorgelegt wurden. In dem Fall geht es darum, unter welchen Umständen E-Mail-Werbung an Bestandskunden auch ohne Einwilligung Letzterer zulässig ist. Konkret drehten sich die Fragen darum, ob im Zusammenhang mit der Einrichtung eines Nutzerkontos bei einem Online-Medium die registrierte E-Mail-Adresse „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung im Sinne von Art. 13 Abs. 2 der Richtlinie 2002/58“ erhalten wurde.

Weiterhin, ob der daraufhin erfolgende Versand von Newslettern an diese Adresse Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen im Sinne der vorgenannten Richtlinie darstellt.

Wichtig sind diese Fragen deshalb, weil unter diesen (und weiteren) Voraussetzungen, E-Mail-Werbung an diese Art von Bestandskunden nach Maßgabe der EU-Richtlinie zulässig ist, auch ohne, dass die Betroffenen darin einwilligen. In Deutschland wurde die Richtlinie vor allem in § 7 UWG umgesetzt. Dessen Abs. 3 lautet wie folgt:

„Abweichend von (…) ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn

ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
der Kunde der Verwendung nicht widersprochen hat und
der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.„

Die dem Fall zugrundeliegenden rumänischen Vorschriften scheinen einen ähnlichen Wortlaut zu haben.

Entscheidung des EuGH

Um es kurz zu machen: Der EuGH hat letztlich bejaht, dass bereits die Registrierung für ein derartiges Online-Portal den Verkauf einer Dienstleistung darstellen kann und dass der nachgehend versendete Newsletter Direktwerbung für eigene ähnliche Dienstleistungen enthalten darf. Werbung per E-Mail ist damit ohne Einwilligung zulässig, auch ohne, dass Geld für eine Dienstleistung geflossen ist. Allerdings bedarf es dennoch eines irgendwie gearteten Austauschgeschäfts. Vorliegend sahen dies die EuGH-Richter darin, dass der Kunde seine E-Mail-Adresse zur Verfügung stellen muss, um Zugang zu Inhalten zu erhalten und um ihn dann über diese E-Mail-Adresse „bespielen“ zu können.

Bedeutung für die Werbung durch Unternehmen

Ändert dies nun grundlegend die Möglichkeiten für deutsche Unternehmen, per E-Mail Werbung für ihre Produkte und Dienstleistungen betreiben zu können? Aus unserer Sicht ist die Antwort klar: Nein!

Auch wenn effekthaschende Überschriften eine andere Einordnung nahe legen, so hat der EuGH nur klargestellt, was zumindest in Deutschland ohnehin gängige Praxis und Rechtsprechung war. Es ist eine spannende und sehr praxisrelevante Frage, ob bereits die Einrichtung eines Nutzerkontos bzw. die Anmeldung zu einem Newsletter den Verkauf eigener Dienstleistungen darstellt und dementsprechend einwilligungsfreie Werbung unter den Voraussetzungen des § 7 Abs. 3 UWG erlaubt. Dies war hierzulande aber u. a. durch ein Urteil des OLG München aus dem Jahr 2018 geklärt (Urteil vom 15.02.2018 – 29 U 2799/17). Erfreulich ist natürlich, dass der EuGH diese Rechtsprechung bestätigt.

Unternehmen können so zwar auch E-Mail-Werbung ohne Einwilligung betreiben, ohne dass ein „echter“ Verkauf stattgefunden hat, es sind aber weiterhin die strengen Anforderungen des UWG zu beachten. So muss der Kunde zwingend über diese Intention und sein Widerspruchsrecht bei Erhebung der E-Mail-Adresse informiert werden. Dies kann auch nicht nachträglich geheilt werden. Unternehmen können ihre Prozesse diesbezüglich daher nur für die Zukunft optimieren.

Auch Beipackwerbung ist unter diesem Ausnahmetatbestand nicht möglich, was in vielen Unternehmensgruppen mit diversem Produktportfolio ein Problem darstellen wird.

Weiterhin muss ein Prozess gestaltet werden, der diese Art der Opt-Out-Kommunikation mit ggf. ebenfalls laufenden Opt-In-Prozessen in Einklang bringt. In der Praxis ist das oft schwer zu managen. Zuletzt muss immer im Einzelfall geprüft werden, ob tatsächlich ein Austauschgeschäft vorliegt, welches einen „Verkauf“ im Sinne von § 7 Abs. 3 UWG darstellen kann. Nicht bei jeder Registrierung mit E-Mail-Adresse ist dies der Fall.

Ein anderer Punkt, den jedes Unternehmen beachten muss ist allerdings der Folgende:

Der EuGH hat entschieden, dass die jeweiligen nationalen wettbewerbsrechtlichen Normen bei dieser Art Kommunikation der DSGVO vorgehen. Das heißt, dass Datenschutzinformationen ggf. angepasst werden, denn Art. 6 Abs. 1 f) DSGVO, welcher hierfür bislang gerne bemüht wurde, ist damit nicht mehr einschlägig.

Praktisch bleibt es damit so wie es war. Unmöglich ist hingegen nichts, man muss es nur ordentlich durchdenken. Gerne helfen wir dabei. Kontaktieren Sie uns und abonnieren Sie doch auch unseren Newsletter, um in Sachen Datenschutz keine Neuigkeit zu verpassen.

Hintergrund: Auskunftsersuchen als Druckmittel

Neues Urteil hilft Unternehmen

Hintergrund und Sachverhalt

Vorlagefragen

Entscheidung des Gerichtshofs

1. Zum exzessiven Charakter eines ersten Auskunftsantrags (Fragen 1–3 und 7)

2. Schadensersatz auch bei Verletzung des Auskunftsrechts ohne Verarbeitung (Fragen 5 und 6)

3. Immaterieller Schaden – Kontrollverlust und Ungewissheit (Frage 8)

Zusammenfassung

Bedeutung des Urteils für die Praxis

Bleiben Sie informiert

Was ist reCAPTCHA?

Was ändert sich jetzt?

Welche Daten werden weiterhin verarbeitet?

Warum die Situation für Unternehmen nicht besser wird

Fazit: Mehr Pflichten, keine wirkliche Verbesserung

Checkliste für Unternehmen, die reCAPTCHA weiterhin nutzen wollen

Datenschutz im Homeoffice – die wichtigsten Punkte auf einen Blick

Rechtlicher Rahmen: DSGVO, BDSG und Homeoffice

Der Unterschied zwischen Homeoffice, Telearbeit und mobilem Arbeiten

Technische und organisatorische Maßnahmen im Homeoffice zusammengefasst

Hardware und Software

Herausforderungen bei privaten Rechnern

Umgang mit analogen Unterlagen

Räumliche Sicherheit

Interne und arbeitsrechtliche Regelungen

Praxis-Checkliste: Datenschutz im Homeoffice umsetzen

Fazit: Datenschutz im Homeoffice ist ein Dauerprozess

Rechtlicher Rahmen: DSGVO, UWG und DDG

Einwilligung als zentrale Voraussetzung

Sonderfall Bestandskunden

DSGVO-konformes Anmeldeformular

Newsletter-Tools und Auftragsverarbeitung

Datenschutz im laufenden Newsletter-Betrieb

Impressum, Informationspflichten und Dokumentation

Fazit

Rechtlicher Rahmen zum Überlassen einer Kopie im Überblick

Rechtsprechung zur Bereitstellung einer Kopie

EuGH

Deutsche Rechtsprechung

Auffassung der Aufsichtsbehörden zur Bereitstellung einer Kopie

Vorgehensweise in der Praxis bei der Bearbeitung des Auskunftsersuchens

Fazit

§ 15 GwG: geldwäscherechtliche Schlüsselnorm für verstärkte Sorgfaltspflichten

Art. 10 DSGVO: datenschutzrechtliche Schlüsselnorm für strafrechtliche Verurteilungen

Zusammenspiel von GwG und DSGVO: Kein Entweder-Oder

Fazit

Großer Bedarf nach Klarheit

Welche Orientierung der Leitfaden bietet

Warum pharmazeutische Hersteller besonders profitieren

Fazit

Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Das Wichtigste in Kürze

Cloud-Computing und Datenschutz – Wichtige Grundlagen

Arten von Cloud-Diensten (IaaS, PaaS, SaaS)

Datenschutzrechtliche Grundlagen für die Cloud (DSGVO & BDSG)

Personenbezogene und besondere Kategorien von Daten

DSGVO-Anforderungen bei der Nutzung von Cloud-Anbietern

Auftragsverarbeitung und AV-Vertrag

Datenübermittlung in Drittländer (USA, UK, etc.)

Datensicherheit in der Cloud: Technische und organisatorische Maßnahmen

Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Protokollierung

Organisatorische Maßnahmen: Prozesse, Rollen, Schulungen

Auswahl eines DSGVO-konformen Cloud-Anbieters

Standort von Anbieter und Rechenzentren

Zertifikate und Sicherheitsnachweise

Nutzungsbedingungen, AGB und Datenschutzbestimmungen

Beispiele für EU-basierte Cloud-Anbieter

Haftung und Betroffenenrechte bei Datenschutzverstößen

Datenschutzverstöße in der Cloud: Meldepflichten und Reaktion

Haftungsfragen gegenüber Kunden, Mitarbeitenden und Behörden

Fazit: So gelingt Cloud Datenschutz in der Praxis

FAQ zu Cloud Datenschutz (häufige Fragen)

Darf ich US-Cloud-Dienste wie Microsoft 365 oder Google Workspace nach DSGVO nutzen?

Darf ich US-Cloud-Dienste wie Microsoft 365 oder Google Workspace nach DSGVO nutzen?

Brauche ich für jede Cloud-Anwendung einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten?

Brauche ich für jede Cloud-Anwendung einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten?

Reicht es aus, wenn der Cloud-Anbieter in seiner Werbung mit „DSGVO-konform” wirbt?

Reicht es aus, wenn der Cloud-Anbieter in seiner Werbung mit „DSGVO-konform” wirbt?

Sind private Cloud-Nutzungen (z. B. Familienfotos in der iCloud) von der DSGVO betroffen?