Umgang mit Auskunftsersuchen nach DSGVO: Neues EuGH-Urteil hilft Unternehmen

Posted on 19. März 202630. März 2026 by Christian Klos

Ein neues EuGH-Urteil können Unternehmen nutzen, um sich gegen „exzessive“ datenschutzrechtliche Auskunftsverlangen zu wehren.

Hintergrund: Auskunftsersuchen als Druckmittel

Oft nutzen Betroffene die Möglichkeiten der DSGVO, um Verantwortlichen Aufwand zu verursachen und Schadensersatz wegen marginalen formalen (vermeintlichen) Rechtsverstößen geltend zu machen. Besonders zu beobachten ist dies etwa bei der Auflösung von Arbeitsverhältnissen. Hier gehört es fast schon zum Standard, dass ein Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht wird, um mehr Verhandlungsdruck aufzubauen. Aber auch verärgerte Kunden ziehen gerne diese Karte, um ihrem anderweit entspringenden Unmut Luft zu machen. Zusätzlich gibt es Fälle, die gezielt auf die Geltendmachung von Schadensersatz ausgerichtet sind.

Um die Wahrung der Datenschutzrechte der Betroffenen geht es hierbei meist, wenn überhaupt, nur am Rande. Solche Auskunftsersuchen können aber erhebliche Ressourcen bei Unternehmen binden, die anderweitig benötig werden. Verantwortliche Unternehmen müssen grundsätzlich alle personenbezogenen Daten zusammenstellen, welche sie zu der Person des Betroffenen speichern. Je nach Dauer der Geschäftsbeziehung und Umfang der Daten kann dies eine extrem komplexe und zeitfressende Aufgabe sein.

Neues Urteil hilft Unternehmen

Der EuGH hat nun mit seinem Urteil vom 19. März 2026 (Rechtssache C‑526/24) dem Missbrauch dieser Rechtspositionen einen zumindest kleinen Riegel vorgeschoben, der hilfreich sein wird, wenn Unternehmen sich mit derartigen Auskunftsersuchen konfrontiert sehen. Warum und wie, das zeigen wir in diesem Beitrag.

Hintergrund und Sachverhalt

Das Urteil erging auf ein Vorabentscheidungsersuchen des Amtsgerichts Arnsberg (Deutschland) vom 31. Juli 2024 und betrifft die Auslegung mehrerer Bestimmungen der DSGVO, insbesondere Art. 12 Abs. 5, Art. 15 Abs. 1 und Art. 82 Abs. 1.

TC, eine in Österreich wohnhafte Privatperson, meldete sich im März 2023 zum Newsletter der Brillen Rottler GmbH & Co. KG, einem familiengeführten Optikerunternehmen mit Sitz in Arnsberg, an. Dabei übermittelte er personenbezogene Daten über die Anmeldemaske auf der Unternehmenswebsite. Nur 13 Tage später stellte TC einen Auskunftsantrag nach Art. 15 DSGVO. Brillen Rottler wies diesen Antrag innerhalb der gesetzlichen Monatsfrist als missbräuchlich im Sinne von Art. 12 Abs. 5 DSGVO zurück und forderte TC auf, endgültig von seinem Antrag abzusehen.

TC verfolgte seinen Antrag weiter und machte zusätzlich einen Schadensersatzanspruch in Höhe von 1.000 Euro aus Art. 82 DSGVO geltend. Daraufhin erhob Brillen Rottler eine negative Feststellungsklage beim Amtsgericht Arnsberg mit dem Antrag festzustellen, dass TC kein Schadensersatzanspruch zustehe. Brillen Rottler stützte sich darauf, dass aus Medienberichten, Blogbeiträgen und Anwaltsberichten hervorgehe, dass TC systematisch und rechtsmissbräuchlich Auskunftsanträge stelle – stets nach demselben Muster: Newsletter-Anmeldung, dann Auskunftsantrag, dann Schadensersatzforderung.

TC erhob Widerklage auf Zahlung von mindestens 1.000 Euro immateriellen Schadensersatz wegen der Weigerung des Unternehmens, ihm Auskunft über seine personenbezogenen Daten zu erteilen.

Vorlagefragen

Das Amtsgericht Arnsberg legte dem EuGH acht Fragen vor, die sich in drei Themenkomplexe gliedern lassen:

Fragen 1–3 und 7 (Exzessivität und Rechtsmissbrauch): Kann ein erster Auskunftsantrag als „exzessiv“ i.S.v. Art. 12 Abs. 5 DSGVO gelten? Können öffentlich zugängliche Informationen über systematisches Vorgehen der betroffenen Person zur Begründung herangezogen werden? Kann der Rechtsmissbrauchseinwand greifen, wenn die betroffene Person die Datenverarbeitung bewusst herbeigeführt hat?
Fragen 4–6 (Schadensersatz und Verarbeitungsbegriff): Stellt ein Auskunftsantrag und/oder dessen Beantwortung eine „Verarbeitung“ i.S.v. Art. 4 Nr. 2 DSGVO dar? Setzt ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zwingend eine Verarbeitung voraus? Besteht ein Schadensersatzanspruch allein aufgrund der Verletzung des Auskunftsrechts?
Frage 8 (Immaterieller Schaden): Stellt der bloße Kontrollverlust über personenbezogene Daten oder die Ungewissheit über eine Verarbeitung einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO dar?

Für Unternehmen besonders relevant sind dabei die unter Punkt 1. genannten Fragen, denn bei Bejahung würde ein wichtiges Instrument an die Hand gegeben, um sich gegen Auskunftsersuchen zu wehren, die sichtlich keinen Bezug zur Wahrnehmung von Datenschutzrechten haben, sondern gänzlich anders motiviert sind.

Entscheidung des Gerichtshofs

1. Zum exzessiven Charakter eines ersten Auskunftsantrags (Fragen 1–3 und 7)

Der EuGH entschied, dass bereits ein erster Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO angesehen werden kann.

Der Gerichtshof stellte klar, dass der Begriff „exzessiv“ etwas bezeichnet, das über das gewöhnliche oder vernünftige Maß hinausgeht. Die bloße Tatsache, dass es sich um einen ersten Antrag handelt, schließt den exzessiven Charakter nicht aus. Der Wortlaut von Art. 12 Abs. 5 DSGVO nennt die „häufige Wiederholung“ lediglich als Beispiel für einen exzessiven Antrag (eingeleitet durch „insbesondere“), erfasst aber auch andere Konstellationen.

Für die Feststellung eines Rechtsmissbrauchs sind zwei Elemente erforderlich:

Objektives Element: Trotz formaler Einhaltung der Bedingungen wird das Ziel der Regelung nicht erreicht. Nach Erwägungsgrund 63 der DSGVO dient das Auskunftsrecht dazu, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Wird der Antrag zu einem anderen Zweck gestellt, fehlt es an der Erreichung dieses Ziels.
Subjektives Element: Nachweis einer Missbrauchsabsicht – die betroffene Person stellt den Antrag nicht zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung, sondern z. B. zur künstlichen Schaffung der Voraussetzungen für die Erlangung von Schadensersatz.

Bei der Beurteilung sind alle Umstände des Einzelfalls zu berücksichtigen, insbesondere:

die freiwillige Bereitstellung der personenbezogenen Daten,
der Zweck der Datenbereitstellung,
die zwischen Datenbereitstellung und Auskunftsantrag verstrichene Zeit (hier nur 13 Tage),
das Verhalten der betroffenen Person insgesamt.

Dabei können auch öffentlich zugängliche Informationen (Medienberichte, Blogbeiträge, Berichte von Rechtsanwälten) berücksichtigt werden, die darauf hindeuten, dass die betroffene Person systematisch nach einem vergleichbaren Muster vorgeht – sofern dies durch weitere relevante Anhaltspunkte bestätigt wird.

Die Beweislast für den exzessiven Charakter liegt allerdings weiterhin beim Verantwortlichen.

2. Schadensersatz auch bei Verletzung des Auskunftsrechts ohne Verarbeitung (Fragen 5 und 6)

Der EuGH entschied, dass Art. 82 Abs. 1 DSGVO der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO entstandenen Schadens verleiht – und zwar auch ohne dass eine Datenverarbeitung als solche vorliegen muss.

Die Begründung stützt sich auf drei Auslegungsmethoden:

Wortlautauslegung: Art. 82 Abs. 1 DSGVO spricht von einem Verstoß „gegen diese Verordnung“ und enthält keine Beschränkung auf Verarbeitungsvorgänge. Diese weit gefasste Formulierung umfasst sämtliche Bestimmungen der DSGVO, einschließlich der Rechte der betroffenen Personen aus Kapitel III.
Systematische Auslegung: Art. 82 DSGVO steht in Kapitel VIII (Rechtsbehelfe, Haftung, Sanktionen), das dem Schutz aller DSGVO-Rechte dient. Die Rechte aus Kapitel III – insbesondere das Auskunftsrecht, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit – können typischerweise nicht durch eine Verarbeitung als solche verletzt werden, sondern durch die Weigerung, dem entsprechenden Antrag nachzukommen. Würde man den Anspruch auf Verarbeitungsschäden beschränken, wären diese Fälle vom Anwendungsbereich ausgeschlossen – was die praktische Wirksamkeit der Norm beeinträchtigen würde (unter Verweis auf die Erklärungen der Europäischen Kommission).
Teleologische Auslegung: Art. 82 DSGVO soll die Ziele der DSGVO verwirklichen, insbesondere die Stärkung der Rechte der betroffenen Personen und die Verschärfung der Verpflichtungen der Verantwortlichen (Erwägungsgrund 11). Das Auskunftsrecht würde erheblich geschwächt, wenn Schadensersatz nur bei rechtswidrigen Verarbeitungsvorgängen möglich wäre.

Der Gerichtshof verwies zudem auf sein Urteil vom 4. Mai 2023 (Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C-60/22), wonach Verstöße gegen die Art. 26 und 30 DSGVO keine „unrechtmäßige Verarbeitung“ darstellen, aber dennoch über Art. 82 DSGVO zu heilen sind.

Da die fünfte und sechste Frage beantwortet wurden, brauchte die vierte Frage (ob ein Auskunftsantrag eine „Verarbeitung“ i.S.v. Art. 4 Nr. 2 darstellt) nicht beantwortet zu werden.

3. Immaterieller Schaden – Kontrollverlust und Ungewissheit (Frage 8)

Der EuGH stellte unter Bestätigung seiner bisherigen Rechtsprechung fest, dass der Verlust der Kontrolle über personenbezogene Daten oder die Ungewissheit über eine Verarbeitung grundsätzlich einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellen kann, formulierte aber wichtige Einschränkungen:

Grundsätze:

Die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“ sind autonome Begriffe des Unionsrechts, die in allen Mitgliedstaaten einheitlich auszulegen sind.
Ein Verstoß gegen die DSGVO begründet nicht automatisch einen Schadensersatzanspruch. Es müssen drei kumulative Voraussetzungen vorliegen: (1) ein Verstoß gegen die DSGVO, (2) ein tatsächlich entstandener Schaden und (3) ein Kausalzusammenhang zwischen Verstoß und Schaden.
Der Schaden kann nicht allein deshalb vermutet werden, weil sich ein Verstoß ereignet hat.

Zum Kontrollverlust:

Aus Erwägungsgrund 85 der DSGVO ergibt sich, dass der Unionsgesetzgeber unter den Schadensbegriff auch den bloßen „Verlust der Kontrolle“ über personenbezogene Daten fassen wollte, selbst wenn keine missbräuchliche Verwendung der Daten erfolgt ist.
Es gibt keine Bagatellgrenze für immateriellen Schaden, aber die betroffene Person muss nachweisen, dass ein tatsächlicher Schaden entstanden ist, der über die bloße Verletzung der DSGVO-Bestimmungen hinausgeht (Urteil vom 14. Dezember 2023, C-456/22).

Zu Befürchtungen und Ungewissheit:

Das bloße Vorbringen einer Befürchtung über eine zukünftige missbräuchliche Verwendung genügt nicht. Das nationale Gericht muss prüfen, ob diese Befürchtung unter den besonderen Umständen als begründet angesehen werden kann.
Diese Erwägungen gelten gleichermaßen für die Ungewissheit darüber, ob personenbezogene Daten verarbeitet wurden.

Zur Unterbrechung des Kausalzusammenhangs:

Besonders praxisrelevant ist die Feststellung des Gerichtshofs, dass der Kausalzusammenhang durch das eigene Verhalten der betroffenen Person unterbrochen werden kann, sofern sich dieses als die entscheidende Ursache für den Schaden erweist.

Konkret bedeutet dies: Wenn der Kontrollverlust oder die Ungewissheit durch die eigene Entscheidung der betroffenen Person herbeigeführt wurde – insbesondere durch die Übermittlung von Daten an den Verantwortlichen in der Absicht, künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen – scheidet ein Ersatzanspruch nach Art. 82 Abs. 1 DSGVO aus.

Zusammenfassung

Der Gerichtshof (Vierte Kammer) entschied kurz gefasst also:

1. Art. 12 Abs. 5 DSGVO ist dahin auszulegen, dass ein erster Auskunftsantrag als „exzessiv“ angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass der Antrag nicht der Überprüfung der Rechtmäßigkeit der Datenverarbeitung diente, sondern in missbräuchlicher Absicht gestellt wurde, etwa zur künstlichen Schaffung der Voraussetzungen für die Erlangung von Schadensersatz. Öffentlich zugängliche Informationen über systematisches Vorgehen der betroffenen Person können bei der Feststellung der missbräuchlichen Absicht berücksichtigt werden.

2. Art. 82 Abs. 1 DSGVO verleiht der betroffenen Person einen Schadensersatzanspruch auch bei Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO – unabhängig davon, ob eine Verarbeitung personenbezogener Daten als solche vorliegt.

3. Der immaterielle Schaden nach Art. 82 Abs. 1 DSGVO kann den Kontrollverlust über personenbezogene Daten oder die Ungewissheit über deren Verarbeitung umfassen, sofern insbesondere nachgewiesen wird, dass der Person tatsächlich ein Schaden entstanden ist und ihr eigenes Verhalten nicht die entscheidende Schadensursache war.

Bedeutung des Urteils für die Praxis

Dieses Urteil ist von erheblicher praktischer Bedeutung für das Datenschutzrecht:

Instrument gegen systematischen Missbrauch: Es schafft Klarheit, dass der Missbrauchseinwand nach Art. 12 Abs. 5 DSGVO auch bei Erstanträgen greifen kann. Verantwortliche erhalten damit ein wirksames Instrument gegen sogenannte „DSGVO-Abmahner“, missmutige Beschäftigte oder Geschäftspartner und systematische Schadensersatzkläger, die gezielt die Voraussetzungen für Entschädigungsansprüche schaffen.
Erweiterung des Schadensersatzanspruchs: Der Anwendungsbereich von Art. 82 DSGVO wird über reine Verarbeitungsvorgänge hinaus erweitert. Dies stärkt die Rechte betroffener Personen bei Auskunftsverletzungen und anderen Verstößen gegen Kapitel III der DSGVO.
Gleichzeitige Begrenzung: Der Schadensersatzanspruch wird durch das Erfordernis eines tatsächlich nachweisbaren Schadens und die Möglichkeit einer Unterbrechung des Kausalzusammenhangs durch eigenes missbräuchliches Verhalten begrenzt. Das Gericht zeigt damit einen ausgewogenen Ansatz, der sowohl die Rechte der betroffenen Personen als auch den Schutz der Verantwortlichen vor missbräuchlichen Ansprüchen berücksichtigt.
Offene Fragen: Es wird letztlich Sache des vorlegenden Amtsgerichts Arnsberg sein, unter Berücksichtigung aller Umstände des Einzelfalls zu entscheiden, ob TCs Vorgehen tatsächlich missbräuchlich war und ob ihm – sollte ein Verstoß von Brillen Rottler festgestellt werden – ein ersatzfähiger Schaden entstanden ist.

Bleiben Sie informiert

Wir haben bereits zahlreiche Unternehmen dabei geholfen, sich gegen missbräuchliche Auskunftsansprüche zu wehren. Haben Sie Fragen zu diesem Urteil oder benötigen Sie rechtliche Unterstützung im Bereich Datenschutz? Nehmen Sie gerne über das Kontaktformular Verbindung mit uns auf.

Möchten Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht und weitere relevante EuGH-Entscheidungen auf dem Laufenden bleiben? Abonnieren Sie den Newsletter von Two Towers und erhalten Sie praxisrelevante Analysen direkt in Ihr Postfach.

Google reCAPTCHA – Änderungen beim Datenschutz

Posted on 26. Februar 202626. Februar 2026 by Christian Klos

Google ändert ab dem 2. April 2026 seine datenschutzrechtliche Rolle bei dem Tool reCAPTCHA: Statt selbst Verantwortlicher zu sein, will Google zum Auftragsverarbeiter werden, so das Unternehmen. Was zunächst wie ein Compliance‑Gewinn wirkt, führt in der Praxis zu mehr Pflichten und Haftungsrisiken für Unternehmen. Wir erklären, warum die Situation trotz Rollenwechsel nicht besser wird und welche Schritte Website-Betreiber zwingend einleiten müssen.

Was ist reCAPTCHA?

Captchas sind Tests auf Webseiten, mit deren Hilfe Menschen von Roboterprogrammen unterschieden werden können. Darunter fallen z. B. Aufgaben zur Entzifferung verzerrten Texts (CAPTCHA = Completely Automated Public Turing Test to Tell Computers and Humans Apart). Diese müssen bei verschiedenen Interaktionen im Internet durchgeführt werden, wie z. B. der Registrierung auf einer Webseite oder dem Abschicken eines Kommentars. Dadurch sollen Spam-Angriffe und anderweitige Manipulationsversuche auf Webseiten verhindert werden.

Der größte Anbieter von Captchas ist Google mit seinem Dienst reCAPTCHA. Bei dem Einsatz von reCAPTCHA läuft teilweise im Hintergrund eine Auswertung des Benutzerverhaltens des Webseitenbesuches, was schon für sich Datenschutz-Herausforderungen mit sich bringt (siehe dazu unser Blogartikel).

Was ändert sich jetzt?

Bisher sah sich Google bei der Nutzung von reCAPTCHA selbst als datenschutzrechtlich Verantwortlicher. Dadurch konnte Google die im Hintergrund gesammelten Daten eigenständig verwenden, auch für produktübergreifende Zwecke.
Mit Wirkung zum 2. April 2026 ändert sich dies:

Google wird zum Auftragsverarbeiter,
Websitebetreiber hingegen werden zu alleinigen Verantwortlichen,
Grundlage der Verarbeitung sind die geänderten Google Cloud Specific Terms.

Damit unterwirft sich Google der Weisungskontrolle der Betreiber. Die technischen Funktionen von reCAPTCHA bleiben vollständig bestehen; es handelt sich ausschließlich um einen rechtlichen Rollenwechsel ohne technische Änderungen.

Welche Daten werden weiterhin verarbeitet?

Die im Hintergrund genutzten Daten bleiben im Wesentlichen unverändert. reCAPTCHA verarbeitet weiterhin:

IP-Adressen
Cookies und Cookie‑Identifier
Browser- & Geräteinformationen
Interaktions- und Verhaltenserkennung
Referrer‑Daten

Diese Daten gelten fast durchweg als personenbezogen.

Auch der Drittlandtransfer in die USA bleibt bestehen – mit allen bekannten DSGVO‑Risiken.

Warum die Situation für Unternehmen nicht besser wird

1. Mehr Verantwortung statt weniger

Unternehmen werden durch den Rollenwechsel vollständig verantwortlich für:

Rechtsgrundlage der Verarbeitung
Information der Nutzer
Ggf. Einbindung im Consent‑Management
Dokumentation im Verzeichnis der Verarbeitungstätigkeiten
Risikobewertungen (insbesondere bei US‑Transfers)

Damit steigt der administrative Aufwand erheblich.

2. Keine Transparenz‑Verbesserung

Ein Kernproblem bleibt bestehen:

Google legt auch weiterhin nicht offen, welche Daten exakt erhoben und wie sie im Detail verarbeitet werden.

Auch wenn Google formell keine eigenen Zwecke mehr verfolgt, bleibt die tatsächliche Datenverarbeitung im Hintergrund eine Blackbox. Unternehmen müssen nun rechtlich für einen Prozess einstehen, dessen genaue technische Details sie nicht kennen. Damit besteht das Risiko, dass hier gar keine echte Auftragsverarbeitung vorliegt (ein bußgeldbewährter DSGVO-Verstoß) und dass Unternehmen für Datenverarbeitungen von Google verantwortlich werden, welche sie weder genau kennen noch verstehen.

3. Drittlandtransfer bleibt ein Compliance‑Risiko

Der Datentransfer in die USA bleibt weiterhin hochproblematisch, da dort kein der EU gleichwertiges Datenschutzniveau besteht.

Damit müssen Unternehmen zusätzliche technische und organisatorische Maßnahmen (TOMs) sowie Risikoabwägungen treffen – obwohl sie keine Einsicht in die Detailverarbeitung erhalten.

4. Pflichten steigen, aber Unternehmen erhalten keine Kontrolle

Die paradoxe Konsequenz:

Unternehmen werden rechtlich verantwortlich,
haben aber keine technische Kontrolle über die eigentliche Datenverarbeitung.

Das führt zu einer Verschiebung der Haftung, nicht aber zu einer Verbesserung der Datenschutzlage.

Websitebetreiber, die weiterhin Google reCAPTCHA einsetzen, müssen bis April alle Hinweise auf die bisherigen Google‑Privacy-Policies entfernen, da sie nicht mehr gültig sind.

Auch das bedeutet zusätzlichen Aufwand, ohne materiellen Datenschutzgewinn.

Fazit: Mehr Pflichten, keine wirkliche Verbesserung

Der Rollenwechsel von Google ist formal ein Schritt in Richtung DSGVO‑Konformität – realistisch betrachtet aber keine Verbesserung für Unternehmen.
Die Verantwortung verschiebt sich vollständig auf die Websitebetreiber, während die strukturellen Probleme von reCAPTCHA fortbestehen:

fehlende Transparenz,
weiterhin hoher Datenumfang,
unveränderter US‑Transfer,
fehlende technische Kontrolle.

Unternehmen tragen nun die komplette Haftung für ein System, dessen Funktionsweise sie nicht einsehen können. Wir raten daher umso mehr dazu, sich nach alternativen Lösungen umzusehen.

Checkliste für Unternehmen, die reCAPTCHA weiterhin nutzen wollen

Soweit Webseitenbetreiber trotz der Risken beim Datenschutz weiterhin an Google reCAPTCHA festhalten möchten, sollten in jedem Fall die folgenden Punkte beachtet werden.

1. Auftragsverarbeitungsvertrag (DPA) abschließen

Google Cloud DPA abschließen oder aktualisieren.

2. Datenschutzerklärung aktualisieren

Alle Verweise auf Googles alte Datenschutzhinweise entfernen
Nutzung von reCAPTCHA transparent und detailliert darstellen

3. Consent‑Management-System anpassen

Klären, ob eine Einwilligung erforderlich ist
Falls ja, sicherstellen, dass reCAPTCHA erst nach Zustimmung geladen wird

4. Risikoanalyse durchführen

Bewertung des Drittlandtransfers in die USA
Dokumentation von Schutzmaßnahmen (TOMs)

5. Verarbeitungstätigkeit dokumentieren

Aufnahme in das Verzeichnis der Verarbeitungstätigkeiten

6. Alternativen prüfen

EU‑basierte CAPTCHA‑Alternativen wie Friendly Captcha in Betracht ziehen

Bei Fragen zur Nutzung von Google reCAPTCHA und vergleichbaren Tools, der datenschutzkonformen Einholung einer Einwilligung sowie der Bereitstellung der notwendigen Informationen in einer Datenschutzerklärung sind wir Ihnen gerne mit unserer Expertise behilflich. Kontaktieren Sie uns einfach.

Abonnieren Sie auch gerne unseren Newsletter, um bei den Entwicklungen im Datenschutz immer auf dem aktuellen Stand zu sein.

Aktion der Aufsichtsbehörden zu Löschanfragen – 7 Problembereiche und was Unternehmen tun können

Posted on 23. Februar 202623. Februar 2026 by Dina Schlombs

Mit der Veröffentlichung des Berichts des Europäischen Datenschutzausschusses (EDSA) vom 10. Februar 2026 liegen nun die konsolidierten Ergebnisse der im Jahr 2025 durchgeführten europaweiten Prüfaktion zur Umsetzung des in Art. 17 DSGVO normierten Rechts auf Löschung vor. Wir berichteten von der Aktion bereits in unserem Beitrag vom 30. Juni 2025.

Insgesamt haben europaweit 764 Verantwortliche an der im Rahmen der Prüfaktion durchgeführten Abfrage teilgenommen. Die Ergebnisse zeigen, dass während einige Unternehmen bereits über strukturierte Prozesse verfügen, in vielen Fällen deutliche Defizite im Rahmen der Umsetzung von Löschanfragen bestehen.

Der EDSA identifiziert zusammengefasst sieben wiederkehrende Problembereiche, zu denen er Handlungsempfehlungen formuliert. Diese geben Verantwortlichen eine verlässliche Orientierung für notwendige Anpassungen im Umgang mit Löschanfragen.

1. Fehlende oder unzureichende interne Prozesse bzgl. Löschanfragen

Problem

Viele Unternehmen verfügen weder über dokumentierte noch regelmäßig aktualisierte Verfahrensanweisungen. Das birgt Risiken z. B. für Fristverstöße, unvollständige Löschungen oder fehlerhafte Ablehnungen.

Handlungsempfehlungen für Unternehmen

Regelmäßig zu aktualisierende interne Prozesse inklusive Zuweisung der Zuständigkeiten und Nennung der Fristen festlegen.
Verzeichnis der Verarbeitungstätigkeiten (VVT) nutzen, um Löschbereiche zu identifizieren.

2. Fehlende oder unzureichende Schulungen zu Löschanfragen

Problem

Mitarbeitende erkennen Löschanträge nicht oder wissen nicht, wie sie weiterzuleiten sind. Auch die rechtlichen Anforderungen von Art. 17 DSGVO sind oft unbekannt.

Handlungsempfehlungen für Unternehmen

Rollenspezifische Schulungen für Fachbereiche, Helpdesks, HR und IT
Regelmäßige Auffrischung, z. B. jährlich oder anlassbezogen
Einsatz von E‑Learning mit praktischen Tests (z. B. Erkennung fingierter Löschanfragen)

3. Unzureichende Informationen an betroffene Personen zu Löschanfragen

Problem

Viele Datenschutzinformationen erwähnen das Recht auf Löschung nicht zufriedenstellend, z. B., wenn Hinweise zu den Möglichkeiten der Antragsstellung fehlen.

Handlungsempfehlungen für Unternehmen

Datenschutzinformationen prüfen und gegebenenfalls um das Recht auf Löschung und dessen Voraussetzungen ergänzen und das Verfahren zur Ausübung erläutern.
Kommunikationskanäle etablieren (z. B. Web-Formular, dedizierte E‑Mail-Adresse).
Eingangsbestätigungen und transparente Bearbeitungshinweise senden.

4. Unsicherheit bei der Anwendung der Ausnahmen (Art. 17 Abs. 3 DSGVO) bei Löschanfragen

Problem

Der Bericht zeigt deutliche Unsicherheiten bei vielen Verantwortlichen bei der Anwendung der Ausnahmen gemäß Artikel 17 Abs. 3 DSGVO. In einigen Fällen werden Ausnahmen automatisch als anwendbar erachtet, ohne dass eine Einzelfallprüfung durchgeführt wird.

Handlungsempfehlungen für Unternehmen

Jede Ablehnung sauber dokumentieren.
Juristische Prüfung einbeziehen (Compliance/Legal).

5. Schwierigkeiten bei der Festlegung und Umsetzung von Aufbewahrungsfristen

Problem

Besonders KMU tun sich schwer, unterschiedliche gesetzliche oder betriebliche Fristen auseinanderzuhalten.

Handlungsempfehlungen für Unternehmen

Zentrales Lösch- und Aufbewahrungskonzept mit klar zugeordneten Fristen
Dokumentation im VVT: Nennung aller geltenden gesetzlichen Verpflichtungen, die die Aufbewahrung der personenbezogenen Daten für einen bestimmten Zeitraum rechtfertigen

6. Umgang mit Löschung in Backups

Problem

Backups werden von vielen Unternehmen ohne ausreichende Begründung pauschal von der Löschung ausgenommen.

Handlungsempfehlungen für Unternehmen

Technische und organisatorische Maßnahmen definieren, wie Löschungen nachträglich berücksichtigt werden (z. B. beim Restore).
Backup-Richtlinien definieren: Aufbewahrungsfristen, Überschreibzyklen, technische Grenzen.

7. Herausforderungen bei der Anonymisierung

Problem

Eine gängige Praxis unter den Verantwortlichen ist es, sich auf die Anonymisierung als Ersatz für eine dauerhafte Löschung personenbezogener Daten zu stützen.

Handlungsempfehlungen für Unternehmen

Nur echte Anonymisierung als Löschalternative einsetzen (auf Re‑Identifizierungsrisiko achten).
Technische Standards berücksichtigen (z. B. ISO/IEC 27001).
Prüfen, ob überhaupt ein berechtigtes Interesse für anonymisierte Weiterverarbeitung besteht.

Fazit

Wir erwarten, dass die Aufsichtsbehörden die Feststellungen aus dem Bericht bei ihren Prüfungen in den Fokus nehmen werden. Unternehmen sollten im Blick behalten, ob die Aufsichtsbehörden weiteren Empfehlungen des Berichts folgend auch praktische Anleitungen zum Thema veröffentlichen.

Unternehmen, die sich bislang nur punktuell mit Löschprozessen befasst haben, sollten den Ergebnisbericht des EDSA zum Anlass nehmen, ein umfassendes und rechtssicheres Verfahren zur Behandlung von Löschanfragen zu etablieren und dabei den Fokus insbesondere auf Transparenz, Sensibilisierung, Dokumentation und technische Umsetzbarkeit legen.

Wir sind Ihnen bei der Erstellung und Umsetzung oder der Überprüfung eines Verfahrens zum Umgang mit Löschersuchen oder eines Löschkonzepts gerne behilflich. Sprechen Sie uns gerne an!

Und abonnieren Sie unseren Newsletter, um bei allen weiteren Themen zum Datenschutz immer auf dem aktuellen Stand zu sein.

Datenschutzrechtliche Auskunftsersuchen und Überlassen einer Kopie

Posted on 17. Februar 2026 by Dina Schlombs

Immer wieder stellt sich im Rahmen von datenschutzrechtlichen Auskunftsersuchen die Frage, in welchem Umfang Verantwortliche verpflichtet sind, einem Antragsteller oder einer Antragstellerin eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen? Genügt eine strukturierte Übersicht der verarbeiteten personenbezogenen Daten oder sind Kopien konkreter Dokumente zur Verfügung zu stellen?

Eine Antwort liefern EuGH‑Rechtsprechung, deutsche Gerichte und aufsichtsbehördliche Hinweise. Dennoch bleibt die Umsetzung des Auskunftbegehrens in der Praxis anspruchsvoll.

Rechtlicher Rahmen zum Überlassen einer Kopie im Überblick

Art. 15 Abs. 1 Halbsatz 2, Abs. 3 Satz 1 DSGVO begründet die Pflicht des Verantwortlichen, einer betroffenen Person eine Kopie ihrer verarbeiteten personenbezogenen Daten zur Verfügung zu stellen. Voraussetzung ist, dass

die angeforderten Informationen personenbezogene Daten des Antragstellers enthalten,
das angefragte Unternehmen Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO ist und
der Anspruch nicht rechtsmissbräuchlich ist.

Was heißt aber Kopie?

Rechtsprechung zur Bereitstellung einer Kopie

EuGH

Der EuGH hat in seiner Entscheidung vom 4. Mai 2023 (C-487/21) und erneut in der Entscheidung vom 26. Oktober 2023 (C-307/22) klargestellt, dass Art. 15 Abs. 3 Satz 1 DSGVO kein anderes Recht gewährt als Art. 15 Abs. 1 und lediglich die Modalitäten der Auskunft regelt. Der Begriff „Kopie“ bezieht sich nach Auffassung des EuGH nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die vollständig enthalten sein müssen. Das Gericht hält nur ausnahmsweise eine Kopie von Dokumenten oder Dokumentauszügen für notwendig, wenn dies für die Verständlichkeit der Daten erforderlich ist und die betroffene Person anderenfalls nicht ihre Rechte nach der DSGVO effektiv ausüben kann.

Deutsche Rechtsprechung

In einer aktuelleren Entscheidung des LAG München vom 12. Juni 2025 (2 SLa 70/25) folgt das Gericht der Linie des EuGH und verneint einen Anspruch auf Herausgabe einer Kopie, konkret die Kopie eines Compliance‑Abschlussberichts. Das LAG München stellt mit Bezugnahme auf eine Entscheidung des BFH vom 12. März 2024 (AZ. IX R 35/21) klar, dass es die betroffene Person darlegen muss, wenn die strukturierte Zusammenstellung der personenbezogenen Daten sowie der Informationen nach Art. 15 Abs. 1 lit. a-h DSGVO für die Wahrnehmung der ihr durch die DSGVO verliehenen Rechte nicht genügt.

Sowohl BFH als auch LAG München gehen davon aus, dass insbesondere durch die Mitteilung, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck diese Verarbeitung erfolgt, die betroffene Person regelmäßig in der Lage ist, die Richtigkeit der personenbezogenen Daten und die Rechtmäßigkeit deren Verarbeitung zu überprüfen.

Auffassung der Aufsichtsbehörden zur Bereitstellung einer Kopie

Der Europäische Datenschutzausschuss (EDSA), der sich aus Vertretern der nationalen Datenschutzbehörden der Mitgliedstaaten zusammensetzt, betont in seiner Leitlinie 01/2022 zum Auskunftsrecht vom 28. März 2023 ebenfalls, dass die Pflicht, eine Kopie bereitzustellen, kein zusätzliches Recht darstellt. Gleichzeitig fordert er eine präzise, transparente und verständliche Darstellung, ohne dies als Vorwand zur Datenkürzung zu nutzen. Ob eine Zusammenstellung oder eine Dokumentkopie verständlicher ist, ist nach Auffassung des EDSA im Einzelfall zu entscheiden.

Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) erklärt in seiner Information für datenschutzrechtlich Verantwortliche zum Recht auf Auskunft gemäß Art. 15 DSGVO vom Dezember 2024, dass „Kopie“ i. S. d. Art. 15 Abs. 3 DSGVO nicht bedeutet, dass der Verantwortliche eine „Fotokopie“ zur Verfügung stellen muss, sondern eine strukturierte Wiedergabe der auf die betroffene Person bezogenen Daten zur Verfügung zu stellen hat. Das BayLDA bezieht sich in seinen Hinweisen auf die oben aufgeführte Entscheidung des EuGH vom 4. Mai 2023 und bestätigt, dass Dokumentauszüge oder ganze Dokumente ausnahmsweise dann bereitzustellen sind, wenn dies unerlässlich ist, um die wirksame Ausübung der Betroffenenrechte zu ermöglichen.

Im Rahmen der dritten koordinierten Prüfung der Datenschutzbehörden zur Umsetzung des Rechts auf Auskunft gem. Art. 15 DSGVO kritisieren diese in ihrem Abschlussbericht vom 16. Januar 2025, dass manche Verantwortliche „grundsätzlich“ keine Dokumentenauszüge liefern. In Anlehnung an die Rechtsprechung des EuGH empfehlen die Behörden auch an dieser Stelle eine konsequente einzelfallbezogene Prüfung und keine grundsätzliche Ablehnung von Dokumentenkopien.

Vorgehensweise in der Praxis bei der Bearbeitung des Auskunftsersuchens

Um im Einzelfall zu klären, ob eine Datenübersicht ausreichend oder die Überlassung von Dokumentenkopien erforderlich ist, bietet die folgende Übersicht als Checkliste eine Hilfestellung.

Datenübersicht oder Dokumentenkopie?

Wozu genau wird Auskunft verlangt? Sind Dokumentenkopien erfasst oder von vornherein eventuell aufgrund der Art der zu beauskunftenden Daten ausgeschlossen?
Ist eine Zusammenstellung der personenbezogenen Daten ohne Kopie möglich? Kann also eine vollständige, strukturierte, verständliche, präzise und transparente Auskunft erteilt werden? (Hierbei ist es auch unschädlich, einfach herstellbare Dokumentenkopien, wie z. B. einen Auszug aus einem Kundensystem oder eine E-Mail als erörternde und kontextgebende Beispiele beizufügen.)
Ist eine wirksame Rechtsausübung ohne (weitere) Dokumente gefährdet?
- Ist die Kontextinformation für das Verständnis der personenbezogenen Daten erforderlich (z. B.: medizinische Befunde, handschriftliche Notizen, Tonaufnahmen)?
- Ist eine Richtigkeits-/Vollständigkeitsprüfung ohne Sicht auf die Darstellung im Dokument nicht möglich oder unzumutbar erschwert?
Hat der Antragstellers subtanziell dargelegt, warum ohne Dokumentenauszüge/-kopien die Rechte nicht effektiv ausgeübt werden können?
- Prüfung der Erforderlichkeit und Verhältnismäßigkeit
- Ggf. Einsatz technischer Mittel zur Schwärzung zum Schutz der Rechte Dritter, wenn einzelne Kopien herausgegeben werden.
Wird das geforderte Beauskunften von Dokumentenkopien transparent und begründet abgelehnt?
- Begründung, falls entgegen dem Antrag keine Kopien von Dokumenten oder Auszügen bereitgestellt werden
- Spezifisch zum Einzelfall und nicht pauschal
- Nennung der verfügbaren Rechtsschutzmöglichkeiten (Beschwerde, gerichtlicher Rechtsbehelf)

Fazit

Kopien von ganzen Dokumenten oder Auszügen sind nur nötig, wenn sie für die Verständlichkeit der verarbeiteten personenbezogenen Daten erforderlich und unerlässlich sind, damit die betroffene Person ihre Rechte wirksam wahrnehmen kann und Rechte Dritter gewahrt werden.

Ist die betroffene Person der Auffassung, dass die Kopie der personenbezogenen Daten sowie die Mitteilung der Informationen nach Art. 15 Abs. 1 lit. a-h DSGVO für die Wahrnehmung ihrer Rechte nach der DSGVO nicht genügt, muss das von ihr substantiiert dargelegt werden.

Um das Auskunftsrecht in der Praxis rechtssicher, effizient und betroffenenorientiert zu erfüllen, sollte ein belastbarer Entscheidungsprozess etabliert, Abwägungen dokumentiert und die Daten in verständlicher Form zur Verfügung gestellt werden.

Gerne stehen wir Ihnen bei der Entwicklung und Umsetzung dieses Prozesses sowie bei speziellen Fragen zu einzelnen Auskunftsersuchen zur Verfügung.

Abonnieren Sie unseren Newsletter, um auch bei allen weiteren Themen zum Datenschutz immer auf dem aktuellen Stand zu sein.

Datenschutz und klinische Forschung: DGIM‑HBDI‑Leitfaden Pflichtwerk für pharmazeutische Hersteller

Posted on 11. Februar 202611. Februar 2026 by Christian Klos

Mit ihrem neuen Leitfaden „Datenschutz in der medizinischen Forschung“ geben die Deutsche Gesellschaft für Innere Medizin (DGIM) und der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) medizinisch Forschenden erstmals ein umfassendes, praxisorientiertes Regelwerk an die Hand, das hilft, Forschungsprojekte mit Gesundheitsdaten rechtssicher zu planen und durchzuführen.

Der Bedarf dafür ist groß: Gesundheitsdaten sind nach DSGVO besonders sensibel, gleichzeitig aber essenziell für die Weiterentwicklung von Diagnostik, Therapien und Versorgungsmodellen. Viele Forschungsteams berichten über Unsicherheiten bei Erhebung, Speicherung, Weitergabe und Anonymisierung, was Projekte verzögert und Ressourcen bindet. Dies nicht zuletzt vor dem Hintergrund unklarer und teils widersprüchlicher behördlicher Anforderungen, insbesondere bei transnationalen klinischen Studien.

Großer Bedarf nach Klarheit

Der Leitfaden entstand vor dem Hintergrund komplexer rechtlicher Rahmenbedingungen und uneinheitlicher Auslegungen durch Datenschutzbehörden. Insbesondere:

Strenge Anforderungen an die Verarbeitung sensibler personenbezogener Daten
Uneinheitliche Bewertung von Anonymisierung und Pseudonymisierung
Herausforderungen bei multizentrischen Studien
Unsicherheiten bei der Abgrenzung von Forschung vs. Qualitätssicherung und „Secondary Use“

Die gemeinsame Arbeit von DGIM und HBDI stellt eine in dieser Form einzigartige Kooperation dar, die darauf abzielt, praxisnahe, realitätsbezogene Lösungen zu entwickeln.

Welche Orientierung der Leitfaden bietet

1. Klare datenschutzrechtliche Grundlage für die Forschungspraxis

Der Leitfaden erklärt kompakt:

welche Daten zu welchem Zweck verarbeitet werden dürfen,
wann Anonymisierung erforderlich ist und welche Anforderungen daran zu stellen sind,
wie Einwilligungen gestaltet sein sollten,
welche Rollen und Verantwortlichkeiten bestehen können.

Besonders wertvoll ist die detaillierte Betrachtung datenschutzrechtlicher Fragen in KI‑basierten Projekten, z. B. in der Bildanalyse oder Befundinterpretation.

2. Vier reale Fallbeispiele (Use Cases)

Die Fallbeispiele decken u. a. folgende Szenarien ab: KI‑gestützte Darmkrebsvorsorge, Pathologie, KI- unterstützte Intensivmedizin sowie die Abgrenzung zwischen Forschung und Qualitätssicherung. Für jedes Beispiel liefert der Leitfaden konkrete datenschutzkonforme Lösungsvorschläge.

3. Datenschutz in multizentrischen Projekten

Multizentrische Forschung ist Standard, aber datenschutzrechtlich komplex. Der Leitfaden zeigt, wie:

Pseudonymisierung bzw. Anonymisierung,
föderierte Datenmodelle,
abgestimmte Datenschutzkonzepte und
vertragliche Regelungen

einen sicheren und effizienten Datenaustausch erlauben.

4. Ein „Living Document“

Der Leitfaden wird kontinuierlich weiterentwickelt. Forschende können eigene Fälle einreichen, die in künftigen Versionen berücksichtigt werden.

Warum pharmazeutische Hersteller besonders profitieren

1. Rechtssicherheit in klinischen Studien

Pharmaunternehmen profitieren von klaren Vorgaben zu Datenaustausch, Rollenverteilungen und Pseudonymisierung, ideal für multizentrische Studien. Herausfordernd wird aber bleiben, dass die Aufsichtsbehörden anderer Länder sich nicht zwingend den hier vertretenen Rechtsauffassungen anschließen werden. Allerdings haben forschende pharmazeutische Unternehmen hiermit eine bessere Argumentationsgrundlage.

2. Schnittstelle zwischen DSGVO, AMG/MPG und GCP

Da Pharmahersteller streng reguliert sind, schafft der Leitfaden wertvolle Orientierung, um datenschutzrechtliche und sektorspezifische Anforderungen zu verknüpfen.

3. Unterstützung bei KI‑gestützten Forschungsansätzen

Der Leitfaden liefert Antworten auf Fragen zur Anonymität medizinischer Bilddaten und zeigt, wie KI‑Projekte rechtskonform umgesetzt werden können.

4. Stabilität in Forschungskooperationen

Klare Datenschutzkonzepte erleichtern die Zusammenarbeit zwischen Pharmaunternehmen, Kliniken, Laboren und CROs.

Fazit

Der DGIM‑HBDI‑Leitfaden ist ein wichtiger Baustein, um Gesundheitsdaten rechtssicher in der Forschung zu verarbeiten. Er bringt Klarheit, verringert Unsicherheiten und unterstützt medizinische Einrichtungen und die Life‑Science‑Industrie dabei, datenschutzkonforme und zugleich innovationsfreundliche Forschungsprozesse zu gestalten.

Sie planen ein Forschungsprojekt oder eine klinische Studie?
Wir unterstützen Sie bei Datenschutz‑Konzept, Rollenmodell und Vertragsgestaltung – sprechen Sie uns an.

Abonnieren Sie auch unseren Newsletter, um stets auf dem Laufenden zu bleiben bei Datenschutz-, KI-Recht und Compliance.

Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Posted on 23. Januar 2026 by Christian Klos

Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Cloud-Speicher sind aus dem modernen Unternehmensalltag nicht mehr wegzudenken. Die dezentrale Speicherung erlaubt eine einfache und robuste Datensicherung sowie eine simple Verfügbarmachung von Daten innerhalb der Belegschaft.

Das Thema Datenschutz wird dabei jedoch häufig vernachlässigt. Dabei müssen sich Unternehmen neben technischen auch rechtlichen Herausforderungen stellen, insbesondere im Hinblick auf die Einhaltung der Datenschutzgrundverordnung (DSGVO).

Verstöße gegen diese können zu hohen Bußgeldern sowie zum Vertrauensverlust bei Kunden und Partnern führen.

Dieser Artikel erläutert, welche Anforderungen an eine DSGVO-konforme Cloud-Nutzung gestellt werden, welche Risiken bestehen und wie Unternehmen mit der richtigen Anbieterwahl, vertraglichen Absicherung und Sicherheitsmaßnahmen ihre Cloud-Daten effektiv schützen können.

Das Wichtigste in Kürze

Wählen Sie Cloud-Anbieter mit Sitz in Deutschland oder der EU, um Drittlandübermittlungen zu minimieren und datenschutzrechtliche Risiken zu reduzieren.
Schließen Sie mit Ihrem Cloud-Anbieter in jedem Fall einen Auftragsverarbeitungsvertrag (AVV) ab.
Setzen Sie wichtige technische und organisatorische Maßnahmen (TOM) wie die Nutzung von Ende-zu-Ende-Verschlüsselung für sensible Daten, Multi-Faktor-Authentifizierung und das Management von Benutzerrollen und Zugriffsrechten um.
Bei US-Anbietern wie Microsoft oder Google prüfen Sie, ob das EU-US Data Privacy Framework greift oder zusätzliche Maßnahmen und Standardvertragsklauseln erforderlich sind.
Geschäftsführer können bei Datenschutzverstößen persönlich haften, insbesondere bei Organisationsverschulden oder mangelhafter Aufsicht. Auch IT-Verantwortliche können in Einzelfällen haftbar gemacht werden, wenn ihnen ein persönliches Fehlverhalten nachgewiesen wird.

Cloud-Computing und Datenschutz – Wichtige Grundlagen

Cloud Computing bezeichnet die Bereitstellung von Speicher, Rechenleistung und Anwendungen über das Internet. Statt eigene Server zu betreiben, greifen Unternehmen auf die IT-Infrastruktur großer Anbieter wie Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform oder die Telekom Open Telekom Cloud zu. Die Vorteile liegen auf der Hand: Skalierbarkeit, Kostentransparenz und Zugriff von überall.

Dabei werden Daten nicht mehr im eigenen Rechenzentrum gespeichert, sondern dezentral in verteilten Rechenzentren. Für Nutzer ist dabei oft nicht unmittelbar erkennbar, wo ihre Dateien physisch liegen.

Personenbezogene Daten, die in der Cloud gespeichert werden, unterliegen dabei den strengen Auflagen der DSGVO unabhängig davon, welchen Dienst Sie nutzen.

Beispiele von personenbezogenen Daten in der Cloud:

Kundendaten aus CRM-Systemen
Mitarbeiterdaten für Lohnabrechnung und HR
E-Mail-Kommunikation und Support-Tickets
Logdaten mit IP-Adressen

Arten von Cloud-Diensten (IaaS, PaaS, SaaS)

Die Cloud-Nutzung lässt sich in drei klassische Service-Modelle unterteilen:

Infrastructure as a Service (IaaS): Sie mieten virtuelle Server, Speicherplatz und Netzwerkressourcen. Beispiele sind AWS EC2, Hetzner Cloud oder IONOS Cloud. Sie verwalten Betriebssystem, Patches und Anwendungen selbst.

Platform as a Service (PaaS): Der Anbieter stellt eine Entwicklungsplattform bereit. Beispiele sind Heroku oder Google App Engine. Sie kümmern sich nur noch um Ihre Anwendung, nicht um die darunterliegende Infrastruktur.

Software as a Service (SaaS): Fertige Anwendungen werden über den Browser genutzt. Beispiele sind Microsoft 365, Salesforce, Dropbox oder Online-Office-Lösungen wie Google Workspace.

Wichtig: Die technische Verantwortung verteilt sich je nach Modell unterschiedlich zwischen Anbieter und Kunde. Die datenschutzrechtliche Verantwortung nach Art. 4 Nr. 7 DSGVO bleibt jedoch immer beim Unternehmen.

Diese Unterschiede werden bei der Auswahl und den technischen und organisatorischen Maßnahmen (TOM) relevant.

Datenschutzrechtliche Grundlagen für die Cloud (DSGVO & BDSG)

Die DSGVO gilt seit dem 25. Mai 2018 in der gesamten EU und wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Beide Regelwerke bilden den rechtlichen Rahmen für den Datenschutz bei Cloud Computing.

Relevante DSGVO-Artikel für Cloud Datenschutz:

Art. 5: Grundsätze der Verarbeitung – Zweckbindung, Datenminimierung, Integrität
Art. 6: Rechtsgrundlagen – Legitimation jeder Datenverarbeitung
Art. 28: Auftragsverarbeitung – AVV-Pflicht mit Cloud-Anbieter
Art. 32: Sicherheit der Verarbeitung – Technische und organisatorische Maßnahmen
Art. 44 ff.: Drittlandsübermittlung – Regeln für Datentransfer außerhalb EU

Cloud-Anbieter sind regelmäßig Auftragsverarbeiter (Processor). Das Unternehmen, das den Dienst nutzt, bleibt Verantwortlicher (Controller) mit allen Pflichten und Haftungsrisiken.

Personenbezogene und besondere Kategorien von Daten

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen:

Name
E-Mail-Adresse
Telefonnummer
IP-Adressen und Standortdaten
Kundennummern und Nutzer-IDs
Fotos und biometrische Daten

Besondere Kategorien nach Art. 9 DSGVO unterliegen einem erhöhten Schutzniveau:

Gesundheitsdaten (z. B. Patientenakten in Praxissoftware)
Religionszugehörigkeit
Gewerkschaftszugehörigkeit
Genetische und biometrische Daten
Daten zur sexuellen Orientierung

Unterschied Anonymisierung vs. Pseudonymisierung: Anonymisierte Daten fallen nicht mehr unter die DSGVO, da kein Personenbezug herstellbar ist, sofern eine Re-Identifizierung auch mit zusätzlichen Informationen praktisch ausgeschlossen ist. Pseudonymisierte Daten (z. B. mit verschlüsselter ID statt Name) bleiben personenbezogen und unterliegen weiterhin dem Datenschutz. Achtung: Die Abgrenzung kann im Einzelfall komplex sein.

DSGVO-Anforderungen bei der Nutzung von Cloud-Anbietern

Wer Cloud-Dienste nutzt, muss die Grundprinzipien der DSGVO einhalten. Diese Anforderungen gelten unabhängig davon, ob Sie Microsoft 365, AWS oder einen kleinen spezialisierten Anbieter nutzen.

Die DSGVO-Grundprinzipien (Art. 5):

Rechtmäßigkeit, Fairness, Transparenz: Verarbeitung nur auf legaler Basis, offen kommuniziert
Zweckbindung: Daten nur für festgelegte, legitime Zwecke nutzen
Datenminimierung: Nur erforderliche Daten erheben
Richtigkeit: Daten aktuell und korrekt halten
Speicherbegrenzung: Löschung, wenn nicht mehr benötigt
Integrität und Vertraulichkeit: Schutz vor unbefugtem Zugriff
Rechenschaftspflicht: Nachweisbarkeit der Einhaltung

Die Informationspflichten nach Art. 13/14 DSGVO verlangen zudem unter Umständen, dass Betroffene über die Cloud-Nutzung informiert werden.

Auftragsverarbeitung und AV-Vertrag

Bei der Nutzung von Cloud-Dienstleistern liegt in den meisten Fällen eine Auftragsverarbeitung vor. Das bedeutet: Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist zwingend erforderlich.

Mindestinhalte eines AVV:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen (Kunden, Mitarbeitende)
Pflichten des Auftragsverarbeiters
Regelungen zu Löschung und Rückgabe
Unterstützung bei Betroffenenrechten
Technisch-organisatorische Maßnahmen (TOM)
Liste der Unterauftragsverarbeiter

Große Anbieter wie Microsoft, Google oder Amazon stellen vorformulierte AV-Verträge bereit. Diese müssen aktiv abgeschlossen oder in den Kontoeinstellungen bestätigt werden, ein bloßes Nutzen des Dienstes reicht nicht.

Ohne AVV ist der Einsatz rechtswidrig. Aufsichtsbehörden haben bereits Bußgelder für die unzulässige Nutzung von Cloud- und Tracking-Diensten verhängt.

Datenübermittlung in Drittländer (USA, UK, etc.)

Der Transfer von Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA, ist nur dann erlaubt, wenn die strengen Anforderungen der Artikel 44 ff. der DSGVO eingehalten werden.

Dabei gibt es verschiedene rechtliche Grundlagen, die eine solche Übermittlung legitimieren können.

Ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission bescheinigt, dass ein Drittland ein vergleichbares Datenschutzniveau wie die EU bietet, sodass personenbezogene Daten aus der EU dorthin übermittelt werden dürfen. Beispiele für Länder, für die aktuell ein Angemessenheitsbeschluss gilt, sind unter anderem:

Schweiz
Kanada (für kommerzielle Organisationen)
Japan
Neuseeland
Israel
Argentinien
Südkorea
Großbritannien (nach dem Brexit)
Uruguay

Diese Liste kann sich ändern, daher ist es wichtig, regelmäßig die offiziellen Informationen der EU-Kommission zu prüfen.

Seit Juli 2023 können Unternehmen zudem auf das EU-US Data Privacy Framework (DPF) zurückgreifen, das eine rechtssichere Übermittlung von personenbezogenen Daten in die USA ermöglicht. Voraussetzung ist, dass der jeweilige US-Anbieter aktiv nach dem EU-US Data Privacy Framework zertifiziert ist.

Dies vereinfacht insbesondere die Nutzung von großen amerikanischen Anbietern wie Google, Dropbox oder Amazon (AWS) erheblich. Allerdings besteht die Möglichkeit, dass der Angemessenheitsbeschluss für das DPF mittelfristig wieder entzogen werden könnte.

Liegt kein Angemessenheitsbeschluss vor, können Standardvertragsklauseln (SCC) genutzt werden, die einen DSGVO-konformen Datenschutz zusichern. Problematisch für Unternehmen ist jedoch, dass sie in der Verantwortung sind, sicherzustellen, dass dieses tatsächlich eingehalten wird. In der Praxis ist die Umsetzung der zusätzlichen Schutzmaßnahmen häufig komplex und mit erheblichem Prüfaufwand verbunden. Ein Restrisiko bleibt bestehen, insbesondere bei Zugriffsmöglichkeiten ausländischer Behörden.

Der beste Weg, um dieses Risiko zu reduzieren, ist die Nutzung von EU-, oder besser: in Deutschland basierten Anbietern wie IONOS, der Telekom oder Hetzner.

Neben diesen häufig genutzten rechtlichen Grundlagen gibt es noch einen Sonderfall für die konzerninterne Datenübermittlungen über die EU-Grenzen hinweg, wenn sogenannte Binding Corporate Rules (BCR) genutzt werden.

Datensicherheit in der Cloud: Technische und organisatorische Maßnahmen

Art. 32 DSGVO verpflichtet Unternehmen und Cloud-Anbieter, ein „angemessenes Schutzniveau” sicherzustellen. Was angemessen ist, hängt ab von:

Risiko für die Rechte der Betroffenen
Stand der Technik
Implementierungskosten
Art und Umfang der Daten

Im Folgenden fassen wir die wichtigsten technischen und organisatorischen Maßnahmen für die DSGVO-konforme Nutzung von Cloud-Anbietern in Kürze zusammen.

Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Protokollierung

Verschlüsselung:

Data at Rest: Verschlüsselung gespeicherter Daten in Rechenzentren (serverseitige Verschlüsselung)
Data in Transit: TLS 1.2/1.3 für alle HTTPS-Verbindungen
Ende-zu-Ende-Verschlüsselung: Bei besonders sensiblen Dokumenten Tools wie Boxcryptor, Tresorit oder Nextcloud E2E-Optionen nutzen

Zugriffskontrolle:

Starke Passwörter mit Passwortmanager
Multi-Faktor-Authentifizierung (MFA) für alle Konten bei Microsoft, Google, AWS
Authenticator-Apps oder FIDO2-Sicherheitsschlüssel statt SMS

Protokollierung und Monitoring:

Regelmäßige Prüfung von Zugriffen, Logins und Freigaben
Security Center in Microsoft 365 nutzen
AWS CloudTrail für Audit-Logs aktivieren
Auffällige Aktivitäten automatisch melden lassen

Organisatorische Maßnahmen: Prozesse, Rollen, Schulungen

Rollen und Berechtigungskonzepte:

Prinzip der minimalen Rechte (Least Privilege)
Getrennte Rollen für Admin, HR, Vertrieb, IT
Keine geteilten Konten, jeder Nutzer hat eigenen Zugang

Richtlinien für sichere Cloud-Nutzung:

Verbot privater Dropbox-Accounts für Kundendaten
Pflicht zur Nutzung des Unternehmens-OneDrive
Klare Regeln für mobiles Arbeiten und Remote Access

Schulungen (mindestens jährlich):

Phishing-Erkennung
Sichere Passwörter und Passwortmanager
Umgang mit vertraulichen Dokumenten
Meldewege bei Verdacht auf Sicherheitsvorfälle

Incident-Response-Prozesse:

Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde melden (Art. 33 DSGVO)
Interner Meldeprozess mit klaren Zuständigkeiten
Dokumentation aller Vorfälle

Auswahl eines DSGVO-konformen Cloud-Anbieters

Die Anbieterauswahl ist ein zentraler Schritt zur DSGVO-Compliance. Entscheidend sind vor allem Standort, Sicherheitsniveau und Vertragsgestaltung.

Seit dem EuGH-Urteil Schrems II (Juli 2020) und der Einführung des EU-US Data Privacy Framework mussten viele Unternehmen ihre Cloud-Verträge überprüfen. Die Auswahl eines DSGVO-konformen Anbieters spart langfristig Zeit und vermeidet rechtliche Risiken.

Standort von Anbieter und Rechenzentren

Relevant sind sowohl der Unternehmenssitz als auch der physische Speicherort der Daten. Ein deutscher Anbieter mit Hosting in US-Rechenzentren bietet weniger Schutz als ein EU-Hosting.

Auswahlkriterien:

Serverstandort in der EU/EWR
Kein Durchgriff von Drittstaaten-Behörden
Transparenz über Subunternehmer und deren Standorte
Vertraglich garantierte Datenlokalisierung

Labels und Initiativen:

Trusted Cloud des BMWK als Orientierungshilfe
GAIA-X als europäisches Cloud-Projekt
Made in Germany als Qualitätsmerkmal

Zertifikate und Sicherheitsnachweise

Zertifikate signalisieren IT-Sicherheit und erleichtern die Anbieterprüfung:

Zertifikate und ihre Aussagekraft:

ISO/IEC 27001: Etabliert ein Informationssicherheits-Managementsystem.
ISO/IEC 27018: Schützt personenbezogene Daten in der Cloud.
BSI C5: Erfüllt cloud-spezifische Sicherheitsanforderungen des BSI.
SOC 2: US-Standard für Sicherheit, Verfügbarkeit und Vertraulichkeit.
Trusted Cloud Datenschutz Profil (TCDP): Deutscher Datenschutz-Standard für Clouds.
Cloud Computing Zertifikat: Nachweis spezifischer Cloud-Kompetenzen.

Wichtig: ISO 27001 ist ein starkes Signal für IT-Sicherheit, aber kein automatischer Nachweis für vollständige DSGVO-Konformität. Ergänzend sollten TOM-Beschreibungen und Datenschutzbestimmungen geprüft werden.

Achten Sie darauf, dass Zertifikate regelmäßig erneuert werden.

Nutzungsbedingungen, AGB und Datenschutzbestimmungen

AGB und Datenschutzrichtlinien regeln, welche Daten zu welchen Zwecken verarbeitet werden. Prüfen Sie kritisch:

Prüffragen für AGB und Datenschutzbestimmungen:

Werden Daten für eigene Zwecke des Anbieters genutzt (Analyse, Marketing)?
Welche Löschfristen gelten?
Wer sind die Unterauftragsverarbeiter?
Welche Rechte hat der Anbieter an den Inhalten?
Sind die Datenschutzstandards mit den eigenen Bestimmungen vereinbar?

Empfehlungen:

AVV muss integraler Vertragsbestandteil sein
Widersprüchliche AGB-Klauseln vermeiden
Vor Vertragsabschluss Rechtsanwalt oder Datenschutzbeauftragte einbeziehen
Bei großen SaaS-Projekten (CRM, ERP, HR) besondere Sorgfalt walten lassen

Beispiele für EU-basierte Cloud-Anbieter

Die folgenden Anbieter haben ihren Unternehmensstandort sowie ihre Serverstandorte in der EU und können daher bei der Wahl eines geeigneten Dienstes gesondert berücksichtigt werden. Die reine Anbieterwahl ist dabei jedoch keine Garantie für eine DSGVO-konforme Nutzung, wenn nicht auch die anderen Aspekte wie technische und organisatorische Maßnahmen (TOM) beachtet werden.

Beispiele für europäische Anbieter:

IONOS Cloud
Telekom MagentaCLOUD
Nextcloud-Hosting in deutschen Rechenzentren
Hetzner Cloud

Haftung und Betroffenenrechte bei Datenschutzverstößen

Trotz Auslagern in die Cloud bleibt das Unternehmen Verantwortlicher und haftet bei Datenschutzverstößen. Ein offener S3-Bucket oder falsch konfigurierte Freigaben können bereits zu Strafen durch Aufsichtsbehörden führen.

Die Haftungsverteilung zwischen Verantwortlichem und Auftragsverarbeiter ist in der DSGVO geregelt. Vertragliche Haftungsbeschränkungen gegenüber Betroffenen wirken nur eingeschränkt.

Neben Bußgeldern drohen:

Schadensersatzansprüche von Betroffenen (Art. 82 DSGVO)
Reputationsschäden
Abmahnungen und Unterlassungsklagen

Datenschutzverstöße in der Cloud: Meldepflichten und Reaktion

Eine meldepflichtige Datenschutzverletzung nach Art. 4 Nr. 12 DSGVO liegt vor bei:

Unbefugtem Zugriff auf personenbezogene Daten
Verlust oder Diebstahl von Daten
Unbeabsichtigte Offenlegung (z. B. durch Fehlkonfiguration)
Gehackte Cloud-Konten

Die 72-Stunden-Frist: Ab Kenntnis der Verletzung müssen Sie die zuständige Aufsichtsbehörde informieren.

Vereinbarungen mit dem Cloud-Anbieter:

Klare Regelung zur Meldung von Sicherheitsvorfällen im AVV
Security Incident Notification
Zugang zu Statusseiten und Ticket-Systemen

Checkliste bei Cloud-Datenpanne:

Vorfall eingrenzen und dokumentieren
Betroffene Zugänge sperren
Protokolle und Logs prüfen
Risiko für Betroffene bewerten
Meldung an Aufsichtsbehörde vorbereiten
Ggf. Betroffene informieren

Haftungsfragen gegenüber Kunden, Mitarbeitenden und Behörden

Kernaussagen zur Haftung:

Unternehmen haften gegenüber Kunden und Mitarbeitenden bei Verstößen
Schadensersatz umfasst auch immateriellen Schaden
Haftungsbeschränkungen wirken regelmäßig nur im Innenverhältnis zwischen Auftraggeber und Auftragsverarbeiter, nicht jedoch gegenüber betroffenen Personen oder Aufsichtsbehörden
Gegenüber Betroffenen und Behörden bleiben Sie voll verantwortlich
Vorstände und Geschäftsführer können persönlich haften

Risikominimierung:

Technische Maßnahmen konsequent umsetzen
Gründliche Anbieterprüfung dokumentieren
Cyber-Versicherung prüfen
Regelmäßige Audits durchführen

Fazit: So gelingt Cloud Datenschutz in der Praxis

DSGVO-konforme Cloud-Nutzung ist möglich und für viele Unternehmen durch Remote Work und Homeoffice unverzichtbar geworden. Durch eine sorgfältige Anbieterauswahl, sichere Verträge, die richtige Konfiguration, technische und organisatorische Maßnahmen (TOM) und eine laufende Überprüfung der bestehenden Prozesse können Unternehmen ihre Risiken managen und die Vorteile von Cloud-Computing bestmöglich nutzen.

Kommt es hingegen zu Datenschutzverstößen, liegt die Verantwortung beim Unternehmen. Es drohen Bußgelder und Haftungsansprüche von Betroffenen. Nehmen Sie daher das Thema Datenschutz in der Cloud unbedingt ernst.

Lassen Sie sich im Zweifel professionell beraten. Wir unterstützen Sie dabei, Cloud-Anbieter und andere Dienstleister DSGVO-konform in Ihre Unternehmensprozesse einzubinden, potenzielle Schwächen und Haftungsrisiken zu minimieren und den Datenschutz in Ihrem Unternehmen insgesamt auf ein solides Fundament zu stellen.

FAQ zu Cloud Datenschutz (häufige Fragen)

Ja, die Nutzung ist grundsätzlich möglich, wenn bestimmte Voraussetzungen erfüllt werden. Unternehmen müssen einen DSGVO-konformen AV-Vertrag abschließen, die Datenübermittlung in die USA nach Art. 44 ff. DSGVO absichern (derzeit über das EU-US Data Privacy Framework) und technische sowie organisatorische Schutzmaßnahmen implementieren. Zudem sollten die Aufsichtsbehörden-Empfehlungen beachtet und dokumentiert werden.

Ja, sofern in der Cloud personenbezogene Daten verarbeitet werden, muss die jeweilige Verarbeitungstätigkeit nach Art. 30 DSGVO dokumentiert werden. In der Praxis wird häufig pro Geschäftsprozess (z. B. „E-Mail-Kommunikation mit Microsoft 365”, „Kundenverwaltung im CRM X”) ein Eintrag angelegt, in dem die Nutzung des jeweiligen Cloud-Dienstes einschließlich Anbieter, Speicherort und Rechtsgrundlage beschrieben ist.

Nein, ein bloßes Werbeversprechen genügt nicht. Unternehmen müssen selbst prüfen und dokumentieren, ob der Anbieter tatsächlich die Anforderungen erfüllt – etwa durch Einsicht in AV-Vertrag, TOM-Beschreibungen, Zertifikate (ISO 27001, BSI C5 etc.), Angaben zum Datenstandort sowie zum Umgang mit Unterauftragsverarbeitern. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO liegt beim Unternehmen.

Die rein persönliche oder familiäre Nutzung (Haushaltsausnahme nach Erwägungsgrund 18 DSGVO) fällt in der Regel nicht unter die DSGVO. Sobald jedoch personenbezogene Daten außerhalb des rein privaten Bereichs verarbeitet werden, etwa Kundendaten eines Kleinunternehmens in einem privaten Cloud-Konto, greift die DSGVO vollständig und es gelten die gleichen Anforderungen wie für größere Unternehmen.

Ja, nach Art. 13 und 14 DSGVO müssen Betroffene informiert werden, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden, welche Empfänger und Auftragsverarbeiter eingebunden sind und ob eine Übermittlung in Drittländer stattfindet. In der Praxis wird dies über eine Datenschutzerklärung (z. B. auf der Website) und ergänzende Hinweise in Verträgen oder Formularen umgesetzt, in denen der Einsatz bestimmter Cloud-Dienste (z. B. Newsletter-Tool, Terminbuchungsplattform, CRM) transparent gemacht wird.

NIS2 und DSGVO im Team für mehr Cybersicherheit

Posted on 8. Dezember 2025 by Ina Rothe

Warum NIS2 für Deutschland ein Thema ist

In Deutschland war die Umsetzung der europäischen NIS2-Richtlinie (EU 2022/2555) lange verzögert, doch Anfang Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie verabschiedet. Es hebt die Anforderungen an die Cybersicherheit auf eine neue Ebene. Damit sind ab sofort und ohne Übergangsfrist viele bisher von NIS1 unbetroffene Unternehmen plötzlich adressiert.

NIS2 hat zum Ziel, die Cybersicherheit und Resilienz kritischer und wichtiger Dienstleister in der EU deutlich zu erhöhen. Betroffen sind ca. 29.000 Einrichtungen in Deutschland allein. NIS2 betrifft dabei nicht nur Netzwerke, Server und Systeme, sondern tangiert in vielen Fällen auch personenbezogene Daten. Damit kreuzen sich die Ziele der NIS2 mit denen der Datenschutz-Grundverordnung (DSGVO). Das macht NIS2 relevant für Datenschutz und Compliance auch dort, wo bislang vielleicht keine klassischen IT-Sicherheitsfragen betrachtet wurden.

Wo NIS2 und DSGVO sich überschneiden

Obwohl NIS2 (ein Regelwerk für Cybersicherheit) und DSGVO (ein Datenschutzrecht) unterschiedliche Schutzzwecke verfolgen, gibt es in der praktischen Umsetzung zahlreiche Schnittmengen, wie die nachfolgende Übersicht zeigt:

Bereich	DSGVO	NIS2	Überschneidung / Synergien
Technische & organisatorische Maßnahmen (TOM)	Art. 32 DSGVO verlangt angemessene Sicherheitsmaßnahmen (z. B. Verschlüsselung, Zugriffskontrollen, Integrität, Verfügbarkeit)	NIS2 (u.a. Art. 21) fordert Risikomanagement, System-Sicherheit, Zugriffskontrollen, Schwachstellen-Management, Schutz der Lieferkette, Business Continuity	Ein gemeinsames Informationssicherheitsmanagement (z. B. ISMS nach ISO 27001) kann viele Anforderungen beider Regelwerke gleichzeitig erfüllen.
Meldepflichten bei Vorfällen	Art. 33/34 DSGVO: Datenschutzverletzungen müssen innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden	NIS2 verlangt Meldung gravierender Sicherheitsvorfälle (IT-Sicherheitsvorfälle) innerhalb i.d.R. 24 Stunden an die zuständige Cyber-Sicherheitsbehörde	Ein Sicherheitsvorfall kann gleichzeitig eine Datenschutzverletzung sein. Unternehmen brauchen integrierte Prozesse, die beide Meldepflichten bedienen.
Risikoanalyse & Governance	DSGVO verlangt risikobasierte Absicherung der Verarbeitung und Rechenschaftspflicht (Accountability, Dokumentation)	NIS2 verlangt Risikomanagement, Verantwortlichkeit der Leitung, Dokumentation und Compliance-Nachweise	Die Geschäftsleitung erhält eine klare Gesamtverantwortung, Transparenz und Nachweispflicht für Schutz der Daten und Systeme.

Damit wird klar: NIS2 ist kein „nice-to-have“ für IT-Security-Profis. Es verlangt eine ganzheitliche Sicherheits- und Datenschutzstrategie. Wo NIS2 greift, kann DSGVO nicht ignoriert werden. Und umgekehrt: Wo personenbezogene Daten verarbeitet werden, sollte Sicherheits- und Resilienzdenken verpflichtend sein.

Wo sich NIS2 und DSGVO unterscheiden

Trotz der Überschneidungen bleiben wesentliche Unterschiede bei Schutzgegenstand, Sanktionen und Aufsichtsbehörden:

Bereich	DSGVO	NIS2
Schutzzweck	Die DSGVO betrifft personenbezogene Daten und schützt die Grundrechte natürlicher Personen.	NIS2 betrifft Informationssysteme (Systeme, Netzwerke, Dienste), wobei personenbezogene wie auch nicht-personenbezogene Daten von NIS2-Maßnahmen betroffen sein können, mit dem Ziel, Versorgung und Funktionalität von kritischen Infrastrukturen und wichtigen Diensten sicherzustellen.
Meldepflichten bei Vorfällen	innerhalb von 72 Stunden an die zuständige Datenschutzaufsicht	innerhalb von 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
Sanktionen	DSGVO-Verstöße werden von den Datenschutzaufsichten der Länder und des Bundes geahndet	NIS2-Verstöße ahndet das BSI.

Was zu tun ist

Unternehmen sollten proaktiv handeln und jetzt bestehende Prozesse auf den Prüfstand stellen:

Existieren strukturierte Prozesse für Risikoanalyse, Vorfallsmanagement und -meldung sowie Incident Response?
Gibt es eine klare Rollenverteilung und Verantwortlichkeit auf Leitungsebene?
Werden bestehende technische und organisatorische Maßnahmen der DSGVO (z. B. Verschlüsselung, Zugriffskontrollen, Wiederherstellbarkeit) konsequent umgesetzt und dokumentiert?
Sind Dienstleister und Lieferketten ausreichend abgesichert? (auch relevant, wenn externe IT-Dienstleister eingebunden sind)

Gerade wegen der Schnittstellen zwischen NIS2 und DSGVO sollten die betrieblichen Datenschutzbeauftragten (DSB) nicht am Rand stehen, sondern zentral in die Compliance- und Security-Governance eingebunden sein. Dabei sind aus unserer Sicht folgende Zeitpunkte und Aufgaben besonders relevant:

Frühzeitig bei der Risikoanalyse und Planung: Schon bei der Risikoanalyse und Definition von Sicherheits- bzw. Schutzmaßnahmen sollte der DSB mitwirken, um zu prüfen, ob und wie personenbezogene Daten betroffen sind und welche Datenschutzanforderungen (z. B. Zweckbindung, Datenminimierung, Dokumentation) zu beachten sind.
Bei der Auswahl und Steuerung externer Dienstleister / Lieferketten: Wenn Dritte in die Informationssysteme eingebunden sind (z. B. Hosting, Cloud-Dienste, IT-Infrastruktur), muss der DSB, gemeinsam mit dem IT-Sicherheitsbeauftragten, sicherstellen, dass Auftragsverarbeitungsverträge und technische/organisatorische Schutzmaßnahmen mit DSGVO und NIS2 kompatibel sind.
Bei Vorfall-Management & Incident Response: Im Falle eines Sicherheitsvorfalls, der gleichzeitig eine Datenschutzverletzung sein könnte, braucht es koordinierte Meldungs- und Reaktionsprozesse: Der DSB sollte hier mit an Bord, um eine etwaige DSGVO-Meldung korrekt durchzuführen.
Bei Governance & Dokumentation: Die Verantwortung der Geschäftsleitung für Sicherheit und Compliance gemäß NIS2 muss durch Governance-Strukturen getragen werden. Der DSB kann, zusammen mit einem IT-Sicherheitsbeauftragten, sicherstellen, dass Datenschutz und Sicherheitsanforderungen nicht getrennt, sondern integriert gemanagt werden.
Bei Schulungen und Sensibilisierung: Sowohl DSGVO als auch NIS2 verlangen Awareness auf Management- und Mitarbeiterebene. Der DSB sollte maßgeblich daran mitwirken, dass Datenschutz- und Sicherheitsbewusstsein gleichermaßen verbreitet werden.

Kurz gesagt: Der Datenschutzbeauftragte sollte nicht nur „Datenschutz“ im engeren Sinne betreuen, im Kontext von NIS2 ist er Teil eines integrierten Compliance- und Sicherheitsrahmens.

Fazit

Gute NIS2-Compliance kann Cybersicherheit und Datenschutz stärken. Unternehmen, die NIS2 und DSGVO gemeinsam betrachten, gewinnen einen klaren Vorteil: weniger Doppelarbeit, bessere Sicherheitslage, geringeres Risiko für Datenschutzverletzungen und Betriebsunterbrechungen.

Der neue gesetzliche Rahmen macht klar: Cybersicherheit ist Leitungsangelegenheit. Und Datenschutz sollte integraler Bestandteil einer soliden Sicherheitsstrategie sein.

Für alle Verantwortlichen (Geschäftsführungen, ISB, DSB) heißt das: Jetzt handeln! Und einen wichtigen Hebel für nachhaltige Sicherheit und Compliance im digitalen Zeitalter nutzen.

Falls Sie Interesse haben, können wir gern darüber sprechen, wie Sie Ihre NIS2- und DSGVO-Prozesse gestalten oder harmonisieren können.

E-Mail-Werbung jetzt ohne Einwilligung?

Posted on 17. November 2025 by Christian Klos

Ein neues Urteil des EuGH klärt viele Fragen zur E-Mail-Werbung

Hintergrund

In seinem Urteil vom 13. November 2025 nimmt der EuGH Stellung zu zwei Fragen im Rahmen einer Vorabentscheidung, welche ihm durch ein nationales rumänisches Gericht zur Beantwortung vorgelegt wurden. In dem Fall geht es darum, unter welchen Umständen E-Mail-Werbung an Bestandskunden auch ohne Einwilligung Letzterer zulässig ist. Konkret drehten sich die Fragen darum, ob im Zusammenhang mit der Einrichtung eines Nutzerkontos bei einem Online-Medium die registrierte E-Mail-Adresse „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung im Sinne von Art. 13 Abs. 2 der Richtlinie 2002/58“ erhalten wurde.

Weiterhin, ob der daraufhin erfolgende Versand von Newslettern an diese Adresse Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen im Sinne der vorgenannten Richtlinie darstellt.

Wichtig sind diese Fragen deshalb, weil unter diesen (und weiteren) Voraussetzungen, E-Mail-Werbung an diese Art von Bestandskunden nach Maßgabe der EU-Richtlinie zulässig ist, auch ohne, dass die Betroffenen darin einwilligen. In Deutschland wurde die Richtlinie vor allem in § 7 UWG umgesetzt. Dessen Abs. 3 lautet wie folgt:

„Abweichend von (…) ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn

ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
der Kunde der Verwendung nicht widersprochen hat und
der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.„

Die dem Fall zugrundeliegenden rumänischen Vorschriften scheinen einen ähnlichen Wortlaut zu haben.

Entscheidung des EuGH

Um es kurz zu machen: Der EuGH hat letztlich bejaht, dass bereits die Registrierung für ein derartiges Online-Portal den Verkauf einer Dienstleistung darstellen kann und dass der nachgehend versendete Newsletter Direktwerbung für eigene ähnliche Dienstleistungen enthalten darf. Werbung per E-Mail ist damit ohne Einwilligung zulässig, auch ohne, dass Geld für eine Dienstleistung geflossen ist. Allerdings bedarf es dennoch eines irgendwie gearteten Austauschgeschäfts. Vorliegend sahen dies die EuGH-Richter darin, dass der Kunde seine E-Mail-Adresse zur Verfügung stellen muss, um Zugang zu Inhalten zu erhalten und um ihn dann über diese E-Mail-Adresse „bespielen“ zu können.

Bedeutung für die Werbung durch Unternehmen

Ändert dies nun grundlegend die Möglichkeiten für deutsche Unternehmen, per E-Mail Werbung für ihre Produkte und Dienstleistungen betreiben zu können? Aus unserer Sicht ist die Antwort klar: Nein!

Auch wenn effekthaschende Überschriften eine andere Einordnung nahe legen, so hat der EuGH nur klargestellt, was zumindest in Deutschland ohnehin gängige Praxis und Rechtsprechung war. Es ist eine spannende und sehr praxisrelevante Frage, ob bereits die Einrichtung eines Nutzerkontos bzw. die Anmeldung zu einem Newsletter den Verkauf eigener Dienstleistungen darstellt und dementsprechend einwilligungsfreie Werbung unter den Voraussetzungen des § 7 Abs. 3 UWG erlaubt. Dies war hierzulande aber u. a. durch ein Urteil des OLG München aus dem Jahr 2018 geklärt (Urteil vom 15.02.2018 – 29 U 2799/17). Erfreulich ist natürlich, dass der EuGH diese Rechtsprechung bestätigt.

Unternehmen können so zwar auch E-Mail-Werbung ohne Einwilligung betreiben, ohne dass ein „echter“ Verkauf stattgefunden hat, es sind aber weiterhin die strengen Anforderungen des UWG zu beachten. So muss der Kunde zwingend über diese Intention und sein Widerspruchsrecht bei Erhebung der E-Mail-Adresse informiert werden. Dies kann auch nicht nachträglich geheilt werden. Unternehmen können ihre Prozesse diesbezüglich daher nur für die Zukunft optimieren.

Auch Beipackwerbung ist unter diesem Ausnahmetatbestand nicht möglich, was in vielen Unternehmensgruppen mit diversem Produktportfolio ein Problem darstellen wird.

Weiterhin muss ein Prozess gestaltet werden, der diese Art der Opt-Out-Kommunikation mit ggf. ebenfalls laufenden Opt-In-Prozessen in Einklang bringt. In der Praxis ist das oft schwer zu managen. Zuletzt muss immer im Einzelfall geprüft werden, ob tatsächlich ein Austauschgeschäft vorliegt, welches einen „Verkauf“ im Sinne von § 7 Abs. 3 UWG darstellen kann. Nicht bei jeder Registrierung mit E-Mail-Adresse ist dies der Fall.

Ein anderer Punkt, den jedes Unternehmen beachten muss ist allerdings der Folgende:

Der EuGH hat entschieden, dass die jeweiligen nationalen wettbewerbsrechtlichen Normen bei dieser Art Kommunikation der DSGVO vorgehen. Das heißt, dass Datenschutzinformationen ggf. angepasst werden, denn Art. 6 Abs. 1 f) DSGVO, welcher hierfür bislang gerne bemüht wurde, ist damit nicht mehr einschlägig.

Praktisch bleibt es damit so wie es war. Unmöglich ist hingegen nichts, man muss es nur ordentlich durchdenken. Gerne helfen wir dabei. Kontaktieren Sie uns und abonnieren Sie doch auch unseren Newsletter, um in Sachen Datenschutz keine Neuigkeit zu verpassen.

Wer ist Auftragsverarbeiter?

Posted on 21. Oktober 2025 by Christian Klos

Neue Auslegungshilfe des Bayerischen Landesamts für Datenschutzaufsicht

Katalog mit Praxisbeispielen

Altgediente Datenschutzpraktiker werden sie kennen: Die Abgrenzungshilfe Auftragsverarbeitung! Ein Katalog mit konkreten Praxisbeispielen und einer mehr oder weniger verbindlichen Einordnung dazu, wann eine Dienstleistung, bei der personenbezogene Daten verarbeitet werden, eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO ist. In Grenzfällen war dies eine hilfreiche Stütze, um eine bestimmte Argumentation zu vertreten, oder sich bzw. dem Mandanten ein gewisses Maß an Rechtssicherheit zu verschaffen. Wenn eine Hilfe der Aufsichtsbehörden wirklich hilfreich war, dann dieses Dokument.

Leider wurde das Werk bereits vor einiger Zeit von der Webseite des Bayerischen Landesamts für Datenschutzaufsicht („BayLDA“) genommen und Rechtsanwender musste, so sie dieses nicht gesichert hatten, auf die eigene Expertise oder die deutlich unkonkretere Hilfestellung des EDSA vertrauen.

Neue Version online

Mittlerweile stellt das BayLDA jedoch eine neue Version dieses Klassikers zur Verfügung, welche hier abgerufen werden kann. Das ist aus unserer Sicht sehr erfreulich.

Schade ist allerdings, dass sich die Behörde nun nicht mehr so konkret aus dem Fenster lehnt, was die Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter angeht. Vielmehr enthält die Abgrenzungshilfe nun Kriterien, entlang derer sich der Rat suchende Rechtsanwender bei seiner Entscheidungsfindung entlang hangeln kann. Hilfreich, aber halt auch aufwendiger als zuvor. Auf der anderen Seite bleibt natürlich mehr Raum für eigene Auslegung.

Immerhin: Einige konkrete Beispiele sind weiterhin vorhanden. So legt sich das LDA weiterhin fest, dass zum Beispiel die „Beauftragung eines IT-Dienstleisters mit dem allgemeinen Support von IT-Systemen, wenn
hierbei (wie häufig) der systematische Zugang zu personenbezogenen Daten faktisch möglich ist“ eine Auftragsverarbeitung sein soll. Ein Fall von enormer Praxisrelevanz, denn so muss mit mehr oder weniger jedem IT-Support-Anbieter eine Auftragsverarbeitungsvereinbarung („AVV“) abgeschlossen werden.

Im Übrigen scheint das Papier aber nunmehr zu wiederholen, was bereits der EDSA in seinen Stellungnahmen zum Thema hat verlauten lassen.

Fazit und Relevanz

Die Frage der Abgrenzung von Auftragsverarbeitung und Verantwortlichkeit stellt sich in der Datenschutzpraxis enorm oft. Konkret immer dann, wenn ein Unternehmen Aufträge an Dritte erteilt oder mit Dritten zusammenarbeitet. Auch bei der Konzerndatenverarbeitung ist das hoch relevant.

Die Frage, ob der Dritte dann eigenständiger (oder gemeinsamer) Verantwortlicher bzw. Auftragsverarbeiter ist, hat weitreichende Konsequenzen. Im Letzteren Fall müssen AVV abgeschlossen und Audits durchgeführt werden, welche dokumentieren, dass der Dienstleister zuverlässig im Sinne der DSGVO ist. Auch in Haftungsfragen hat dies weitreichende Folgen. Handelt es sich hingegen um zwei oder mehr Verantwortliche, muss eine Rechtsgrundlage für die gemeinsame Datenverarbeitung gefunden werden.

Die Abgrenzungshilfe des BayLDA ist hierbei eine hilfreiche Stütze. Die neue Version lässt aber deutlich mehr Interpretationsspielräume offen als ihre Vorgängerin. Am Ende gibt es hier damit weniger klare Leitplanken und in der Folge mehr Beratungsbedarf für rechtlich nicht geschulte Verantwortliche.

Bleiben Sie stets auf dem Laufenden zu den Themen Datenschutz & Compliance und abonnieren Sie unseren Newsletter oder kontaktieren Sie uns für ein persönliches Gespräch!

Ist Google Analytics DSGVO-konform? Das sollten Sie beachten!

Posted on 3. September 2025 by Christian Klos

Google Analytics gehört zu den beliebtesten Web-Analyse-Tools weltweit. Allerdings werden immer wieder Zweifel an dessen Datenschutzkonformität erhoben.

Wir möchten Sie in diesem Artikel umfassend darüber aufklären, ob Sie Google Analytics DSGVO-konform nutzen können und wie Sie das Risiko für Datenschutzverstöße minimieren können.

Das Wichtigste in Kürze: Bei der Nutzung von Google Analytics 4 (GA4) bleibt in jedem Fall ein Restrisiko, das Sie jedoch durch eine datenschutzfreundliche Konfiguration senken können. Nicht zuletzt ist die DSGVO-Konformität von GA4 stark vom Bestehen des Angemessenheitsbeschlusses über das EU-US Data Privacy Framework abhängig.

Immer notwendig: AVV, Einwilligung und Datenschutzerklärung

Damit Sie Google Analytics 4 DSGVO-konform nutzen können, müssen Sie in jedem Fall…:

… einen Auftragsverarbeitungsvertrag (AVV) mit Google schließen. Google gibt Ihnen dazu über die GA4-Verwaltung eine einfache Möglichkeit.
… eine Einwilligung bei betroffenen Website-Besuchern einholen und eine Möglichkeit zum Opt-Out geben.
… in Ihrer Datenschutzerklärung über die Nutzung von Google Analytics, die verfolgten Zwecke und die erhobenen Daten informieren.

Wichtig zu beachten ist, dass Daten tatsächlich erst dann zu Google übertragen werden dürfen, wenn eine Einwilligung der Webseiten-Besucher vorliegt. Ein Cookie-Banner darf daher nicht nur eine „Attrappe“ sein, sondern muss sicherstellen, dass entsprechende Cookies erst nach erteiltem Consent gesetzt werden.

So stellen Sie Ihr Google Analytics DSGVO-konform(er) ein

Unter Beachtung der vorangegangenen Grundvoraussetzungen für eine DSGVO-konforme Nutzung, sollten Sie weiterhin innerhalb von GA4 folgende Einstellungen festsetzen:

Stellen Sie die Dauer der gespeicherten Daten auf den kleinsten möglichen Wert (2 Monate) ein. Deaktivieren Sie zusätzlich die Option, Nutzerdaten bei neuer Aktivität zurückzusetzen.
Deaktivieren Sie die Datenfreigabe für „Google-Produkte und -Dienste“. Für noch mehr Sicherheit sollten Sie auch die anderen Optionen wie Benchmarking und den technischen Support abwählen.
Verzichten Sie auf die Nutzung von Google Signalen, die Erhebung von Standort- und Gerätedaten und die Nutzung von User-IDs.
Verzichten Sie auf die Nutzung des erweiterten Google Consent Modes ohne Einwilligung des Nutzers. Mehr erfahren Sie im verlinkten Artikel.

Die Anonymisierung von IP-Adressen ist ebenfalls erforderlich, aber in GA4 bereits voreingestellt.

Bei US-Anbietern bleibt immer ein Restrisiko bestehen

Eine der größten Angriffspunkte für die Kritik von Datenschützern an Google Analytics ist die Übertragung der Daten an Server in den USA, wo Google an gesetzliche Vorgaben gebunden ist, Ermittlungsbehörden Zugriff auf gespeicherte Daten zu gewähren.

Die Möglichkeit, Google Analytics DSGVO-konform zu nutzen, ist daher weitgehend abhängig vom Bestehen des EU-US Data Privacy Frameworks (DPF), für das Google sich zertifiziert hat. Solange der Angemessenheitsbeschluss hierfür Bestand hat, kann das akute Risiko für Unternehmen, die GA4 nutzen, als verhältnismäßig gering angesehen werden, sofern die weiter oben genannten Voraussetzungen zur Nutzung erfüllt werden.

Es ist jedoch denkbar, dass das DPF ähnlich wie seine beiden Vorgängerabkommen zum Scheitern verurteilt ist. In diesem Fall wäre die Datenübertragung an US-Dienstleister wie Google selbst bei bestehenden Standardvertragsklauseln mit deutlich erhöhten Risiken verbunden. Nutzende Unternehmen könnten in diesem Fall für die Prüfung der Einhaltung der DSGVO verantwortlich gemacht werden, was jedoch in der Praxis unmöglich ist.

Dieses Risiko können Sie umgehen, indem Sie etwa auf die Dienste europäischer Anbieter zurückgreifen. Als Akutmaßnahme nach einem Zurückziehen des Angemessenheitsbeschlusses für das DPF raten wir Ihnen in jedem Fall, auf die Nutzung von GA4 bis auf Weiteres zu verzichten.

Lassen Sie sich im Zweifel professionell beraten

Bei der Nutzung von Web-Analyse-Tools wie Google Analytics bleiben selbst bei optimierten Einstellungen Restrisiken erhalten.

Schon die korrekte Einbindung über ein funktionierendes Cookie-Consent-Management sowie rechtskonforme Passagen in Datenschutzerklärungen sind häufige Fehlerquellen, die einen Datenschutzverstoß darstellen und entsprechend geahndet werden können.

Lassen Sie sich daher im Zweifel professionell beraten. Als erfahrene Experten im Bereich Datenschutz und Compliance spüren wir gerne Lücken in Ihrem Datenschutz auf und schließen diese für maximale Rechtssicherheit.

Zum Kontaktformular

Zur Newsletter-Anmeldung

Hintergrund: Auskunftsersuchen als Druckmittel

Neues Urteil hilft Unternehmen

Hintergrund und Sachverhalt

Vorlagefragen

Entscheidung des Gerichtshofs

1. Zum exzessiven Charakter eines ersten Auskunftsantrags (Fragen 1–3 und 7)

2. Schadensersatz auch bei Verletzung des Auskunftsrechts ohne Verarbeitung (Fragen 5 und 6)

3. Immaterieller Schaden – Kontrollverlust und Ungewissheit (Frage 8)

Zusammenfassung

Bedeutung des Urteils für die Praxis

Bleiben Sie informiert

Was ist reCAPTCHA?

Was ändert sich jetzt?

Welche Daten werden weiterhin verarbeitet?

Warum die Situation für Unternehmen nicht besser wird

Fazit: Mehr Pflichten, keine wirkliche Verbesserung

Checkliste für Unternehmen, die reCAPTCHA weiterhin nutzen wollen

1. Fehlende oder unzureichende interne Prozesse bzgl. Löschanfragen

Problem

Handlungsempfehlungen für Unternehmen

2. Fehlende oder unzureichende Schulungen zu Löschanfragen

Problem

Handlungsempfehlungen für Unternehmen

3. Unzureichende Informationen an betroffene Personen zu Löschanfragen

Problem

Handlungsempfehlungen für Unternehmen

4. Unsicherheit bei der Anwendung der Ausnahmen (Art. 17 Abs. 3 DSGVO) bei Löschanfragen

Problem

Handlungsempfehlungen für Unternehmen

5. Schwierigkeiten bei der Festlegung und Umsetzung von Aufbewahrungsfristen

Problem

Handlungsempfehlungen für Unternehmen

6. Umgang mit Löschung in Backups

Problem

Handlungsempfehlungen für Unternehmen

7. Herausforderungen bei der Anonymisierung

Problem

Handlungsempfehlungen für Unternehmen

Fazit

Rechtlicher Rahmen zum Überlassen einer Kopie im Überblick

Rechtsprechung zur Bereitstellung einer Kopie

EuGH

Deutsche Rechtsprechung

Auffassung der Aufsichtsbehörden zur Bereitstellung einer Kopie

Vorgehensweise in der Praxis bei der Bearbeitung des Auskunftsersuchens

Fazit

Großer Bedarf nach Klarheit

Welche Orientierung der Leitfaden bietet

Warum pharmazeutische Hersteller besonders profitieren

Fazit

Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Das Wichtigste in Kürze

Cloud-Computing und Datenschutz – Wichtige Grundlagen

Arten von Cloud-Diensten (IaaS, PaaS, SaaS)

Datenschutzrechtliche Grundlagen für die Cloud (DSGVO & BDSG)

Personenbezogene und besondere Kategorien von Daten

DSGVO-Anforderungen bei der Nutzung von Cloud-Anbietern

Auftragsverarbeitung und AV-Vertrag

Datenübermittlung in Drittländer (USA, UK, etc.)

Datensicherheit in der Cloud: Technische und organisatorische Maßnahmen

Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Protokollierung

Organisatorische Maßnahmen: Prozesse, Rollen, Schulungen

Auswahl eines DSGVO-konformen Cloud-Anbieters

Standort von Anbieter und Rechenzentren

Zertifikate und Sicherheitsnachweise

Nutzungsbedingungen, AGB und Datenschutzbestimmungen

Beispiele für EU-basierte Cloud-Anbieter

Haftung und Betroffenenrechte bei Datenschutzverstößen

Datenschutzverstöße in der Cloud: Meldepflichten und Reaktion

Haftungsfragen gegenüber Kunden, Mitarbeitenden und Behörden

Fazit: So gelingt Cloud Datenschutz in der Praxis

FAQ zu Cloud Datenschutz (häufige Fragen)

Darf ich US-Cloud-Dienste wie Microsoft 365 oder Google Workspace nach DSGVO nutzen?

Darf ich US-Cloud-Dienste wie Microsoft 365 oder Google Workspace nach DSGVO nutzen?

Brauche ich für jede Cloud-Anwendung einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten?

Brauche ich für jede Cloud-Anwendung einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten?

Reicht es aus, wenn der Cloud-Anbieter in seiner Werbung mit „DSGVO-konform” wirbt?

Reicht es aus, wenn der Cloud-Anbieter in seiner Werbung mit „DSGVO-konform” wirbt?

Sind private Cloud-Nutzungen (z. B. Familienfotos in der iCloud) von der DSGVO betroffen?

Sind private Cloud-Nutzungen (z. B. Familienfotos in der iCloud) von der DSGVO betroffen?

4. Unsicherheit bei der Anwendung der Ausnahmen (Art. 17 Abs. 3 DSGVO) bei Löschanfragen