Microsoft 365 auf dem Prüfstand des HBDI:

Veröffentlicht am 23. November 2025 von SWinkler

HBDI-Bericht zu Microsoft 365 (November 2025)

Am 15. November 2025 hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einen umfassenden Bericht zur datenschutzrechtlichen Bewertung von Microsoft 365 (M365) veröffentlicht. Dieser Bericht ist das Ergebnis mehrmonatiger Verhandlungen des HBDI (unter Leitung von Prof. Dr. Alexander Roßnagel) mit Microsoft. Ziel war es herauszufinden, unter welchen Bedingungen ein datenschutzkonformer Einsatz von M365 möglich ist – und zwar praxisnah für Unternehmen, Behörden und Bildungseinrichtungen. Zwar bezieht sich der Bericht hauptsächlich auf jene Einrichtungen in Hessen, gilt aber letztendlich in ganz Deutschland.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , , , , , | Schreib einen Kommentar

Anwesenheitserfassung mit Teams?

Veröffentlicht am 5. November 2025 von SWinkler

Microsoft hat angekündigt, ab Dezember 2025 eine neue Funktion in Microsoft Teams einzuführen, mit der Arbeitgeber künftig die Anwesenheit ihrer Mitarbeitenden im Büro erfassen können. Dafür sollen Kalenderdaten, Statusinformationen und Arbeitsplatzbuchungen automatisch zusammengeführt werden.

Was Microsoft als Beitrag zu „Raum- und Ressourcenoptimierung“ bewirbt, ist in Wahrheit ein System zur digitalen Anwesenheitskontrolle – und damit in Deutschland datenschutzrechtlich nicht zulässig.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Anwesenheitserfassung mit Teams?

Gesundheitsdaten von Beschäftigten: Wo Datenschutz die Grenze zieht

Veröffentlicht am 17. Oktober 2025 von SWinkler

Wenn Mitarbeitende krank werden, stellt sich für Arbeitgeber schnell die Frage: Besteht weiterhin Anspruch auf Lohnfortzahlung – oder springt schon die Krankenkasse ein?
Damit ein Unternehmen das prüfen kann, werden manchmal Gesundheitsdaten benötigt. Doch der Umgang mit diesen Informationen ist heikel. Die Landesdatenschutzbeauftragte NRW (LDI NRW) hat nun erstmals konkret erklärt, was Arbeitgeber wissen dürfen – und wo die Grenzen liegen.

Weiterlesen
Veröffentlicht unter Arbeitgeber, Arbeitnehmer, Betriebsrat | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Gesundheitsdaten von Beschäftigten: Wo Datenschutz die Grenze zieht

EDPB startet EU-weite Datenschutzprüfung 2026: Fokus auf Transparenzpflichten nach der DSGVO

Veröffentlicht am 16. Oktober 2025 von SWinkler

Im Oktober 2025 hat der Europäische Datenschutzausschuss (EDSA / EDPB) entschieden, dass seine fünfte koordinierte Durchsetzungsaktion im Jahr 2026 den Transparenz- und Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO) gewidmet wird. Damit nehmen die europäischen Aufsichtsbehörden genau jene Vorschriften ins Visier, die sicherstellen sollen, dass Bürgerinnen und Bürger wissen, was mit ihren personenbezogenen Daten geschieht – ein zentrales Element der Datenschutz-Compliance.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für EDPB startet EU-weite Datenschutzprüfung 2026: Fokus auf Transparenzpflichten nach der DSGVO

Schatten-IT im Unternehmen: Wenn gute Absichten zum Risiko werden

Veröffentlicht am 11. Oktober 2025 von SWinkler

Versteckte Systeme – ein unsichtbares Sicherheitsproblem

Schatten-IT bezeichnet alle IT-Systeme, Anwendungen oder Cloud-Dienste, die in einem Unternehmen ohne Wissen oder Zustimmung der IT-Abteilung eingesetzt werden.

Das kann harmlos wirken – etwa, wenn Mitarbeitende schnell ein kostenloses Online-Tool nutzen, um ihre Arbeit zu erleichtern. Doch gerade diese unkontrollierte Nutzung führt dazu, dass sensible Daten in Systeme gelangen, die nicht abgesichert oder überprüft sind.

Weiterlesen
Veröffentlicht unter Uncategorized | Kommentare deaktiviert für Schatten-IT im Unternehmen: Wenn gute Absichten zum Risiko werden

OLG Düsseldorf spricht 200 Euro Schadensersatz für Datenkontrollverlust zu

Veröffentlicht am 29. September 2025 von SWinkler

Das Oberlandesgericht (OLG) Düsseldorf hat am 10. Juli 2025 in der Sache 16 U 83/24 ein Urteil gefällt, das für Unternehmen wie auch für Betroffene von Datenschutzverstößen von erheblicher Bedeutung ist. Kern der Entscheidung: Schon der Verlust der Kontrolle über personenbezogene Daten kann nach der DSGVO einen Anspruch auf Schadensersatz begründen.

Weiterlesen
Veröffentlicht unter Uncategorized | Kommentare deaktiviert für OLG Düsseldorf spricht 200 Euro Schadensersatz für Datenkontrollverlust zu

Pseudonymisierte Daten: EuGH schafft Klarheit über personenbezogene Informationen

Veröffentlicht am 17. September 2025 von SWinkler

Am 4. September 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache EDPS gegen Single Resolution Board (C-413/23 P) ein wegweisendes Urteil verkündet. Im Mittelpunkt stand die Frage: Wann sind pseudonymisierte Informationen personenbezogene Daten und wann sind sie es nicht – und für wen?

Das Urteil befasst sich mit einer für Unternehmen und Organisationen, die mit pseudonymisierten Daten arbeiten äußerst wichtigen Frage.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Pseudonymisierte Daten: EuGH schafft Klarheit über personenbezogene Informationen

Private E-Mail am Arbeitsplatz: Warum Arbeitgeber nicht automatisch Telekommunikationsanbieter sind

Veröffentlicht am 3. September 2025 von SWinkler

Ausgangslage

Viele Unternehmen stellen ihren Mitarbeitern E-Mail-Accounts zur Verfügung. Oft wird neben der geschäftlichen auch die private Nutzung erlaubt oder stillschweigend geduldet. Die spannende Frage: Wird der Arbeitgeber dadurch zum Anbieter von Telekommunikationsdiensten mit allen Pflichten des Telekommunikationsgesetzes (TKG)?

Sicht der Datenschutzkonferenz (DSK)

Die unabhängigen Datenschutzbehörden vertraten jahrelang eine klare Linie:

  • Private Nutzung = Anbieterstellung nach TKG
  • Arbeitgeber sind an das Fernmeldegeheimnis gebunden
  • Jeder Zugriff auf private E-Mails ohne Zustimmung ist tabu
  • Ein Verstoß kann sogar eine Straftat nach § 206 StGB darstellen

Für Unternehmen bedeutete dies ein erhebliches Risiko: Selbst bei rein organisatorischem Zugriff auf das Postfach drohten rechtliche Probleme.

Position der Bundesnetzagentur

Die Bundesnetzagentur hat diese Sichtweise nun grundlegend relativiert. In ihrem Hinweispapier zu NI-ICS (nummernunabhängigen interpersonellen Telekommunikationsdiensten) stellt sie klar:

  • Ein Arbeitgeber, der E-Mail-Konten bereitstellt, handelt nicht gewerblich.
  • Das Angebot ist kein eigenständiges Geschäftsmodell, sondern ein Arbeitsmittel.
  • Da die Bereitstellung nicht gegen Entgelt erfolgt, fehlt die Grundlage für eine Einstufung als Telekommunikationsdienst.

Kernunterschied: Zweck des Angebots

  • DSK: Entscheidend ist die tatsächliche Nutzung – private Mails machen den Arbeitgeber zum Diensteanbieter.
  • BNetzA: Entscheidend ist die wirtschaftliche Einordnung – ohne Entgelt und ohne Marktbezug kein Telekommunikationsdienst.

Auswirkungen für Arbeitgeber

Die Einschätzung der BNetzA bringt spürbare Entlastung:

  • Das Fernmeldegeheimnis findet keine Anwendung.
  • Strafrechtliche Risiken werden minimiert.
  • Maßgeblich sind nun DSGVO und BDSG, also klassische Datenschutzvorgaben.
  • Arbeitgeber gewinnen mehr Flexibilität, müssen aber weiterhin den Umgang mit privaten Daten sorgsam regeln.

Praktisch bedeutet das: Unternehmen können die private Nutzung zulassen, ohne gleich in die volle TKG-Regulierung zu rutschen. Trotzdem bleiben klare Richtlinien – etwa über Betriebsvereinbarungen – wichtig, um Rechtssicherheit zu schaffen.

Fazit

Der Meinungsstreit zwischen DSK und BNetzA zeigt, wie stark die Bewertung von E-Mail-Nutzung am Arbeitsplatz von der Auslegung abhängt. Während die DSK auf eine strikte Anwendung des Fernmeldegeheimnisses pochte, stellt die Bundesnetzagentur auf den wirtschaftlichen Kontext ab – und kommt so zu einer entlastenden Einschätzung für Arbeitgeber.

Unternehmen sollten die aktuelle Entwicklung genau beobachten. Wir stehen Ihnen dabei sehr gern beratend zur Seite und unterstützen bei der Ausarbeitung praxisgerechter Lösungen.

Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Private E-Mail am Arbeitsplatz: Warum Arbeitgeber nicht automatisch Telekommunikationsanbieter sind

Gericht stärkt Datenschutz: Cookie-Banner müssen echte Wahl lassen

Veröffentlicht am 29. Juli 2025 von SWinkler

Ein Urteil des Verwaltungsgerichts Hannover (Az. 10 A 5385/22) vom 19.03.2025 setzt neue Maßstäbe für die datenschutzkonforme Gestaltung von Cookie-Bannern auf Websites. Der Beschluss betrifft nicht nur den konkreten Fall eines niedersächsischen Verlags, sondern dürfte für viele Seitenbetreiber weitreichende Folgen haben.

Weiterlesen
Veröffentlicht unter Business, Unternehmen | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Gericht stärkt Datenschutz: Cookie-Banner müssen echte Wahl lassen

Datenschutz im Handel: Neue BayLDA-Checkliste bringt Klarheit für kleine Unternehmen

Veröffentlicht am 14. Juli 2025 von SWinkler

In Zeiten zunehmender Digitalisierung ist der Datenschutz für Unternehmen nicht mehr Kür, sondern Pflicht. Doch gerade Soloselbstständige und Kleinstunternehmen stehen oft vor der Frage: Was muss ich eigentlich konkret tun? Genau hier setzt die neue Praxis-Checkliste des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) an.

Weiterlesen
Veröffentlicht unter Unternehmen | Kommentare deaktiviert für Datenschutz im Handel: Neue BayLDA-Checkliste bringt Klarheit für kleine Unternehmen