BGH stärkt Datenschutzpflichten bei Auftragsverarbeitern: Unternehmen müssen Datenlöschungen aktiv kontrollieren

Veröffentlicht am 3. Juni 2026 von SWinkler

Neues BGH-Urteil verschärft die Anforderungen an Verantwortliche nach der DSGVO

Viele Unternehmen verlassen sich darauf, dass ihre Auftragsverarbeiter personenbezogene Daten nach Vertragsende ordnungsgemäß löschen. Schließlich enthalten Auftragsverarbeitungsverträge regelmäßig entsprechende Verpflichtungen.

Mit Urteil vom 11. November 2025 (Az. VI ZR 396/24) hat der Bundesgerichtshof jedoch klargestellt, dass dies allein nicht genügt. Verantwortliche Unternehmen müssen aktiv dafür sorgen, dass personenbezogene Daten nach Beendigung einer Auftragsverarbeitung tatsächlich gelöscht oder zurückgegeben werden. Andernfalls drohen Schadensersatzansprüche nach Art. 82 DSGVO.

Die Entscheidung dürfte erhebliche Auswirkungen auf das Datenschutzmanagement vieler Unternehmen haben.

Worum ging es im Verfahren?

Geklagt hatte ein Nutzer eines Musikstreaming-Dienstes gegen den Betreiber der Plattform.

Der Anbieter hatte einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt. Das Auftragsverarbeitungsverhältnis endete Ende 2019. Der Dienstleister kündigte per E-Mail an, die gespeicherten Daten am Folgetag zu löschen.

Eine tatsächliche Bestätigung der vollständigen Löschung erfolgte jedoch nicht.

Erst Jahre später wurde bekannt, dass personenbezogene Daten von Nutzern im Darknet zum Verkauf angeboten wurden. Die Datensätze stammten aus dem Jahr 2019 und waren entgegen der vertraglichen Vereinbarung nicht gelöscht worden. Stattdessen befanden sie sich weiterhin in einer Testumgebung des ehemaligen Auftragsverarbeiters. Dort wurden sie entweder durch Hacker erbeutet oder von Mitarbeitern unbefugt weitergegeben.

Der betroffene Nutzer verlangte daraufhin unter anderem immateriellen Schadensersatz nach Art. 82 DSGVO.

Der BGH: Die Verantwortung endet nicht mit dem Vertrag

Die zentrale Aussage des Urteils betrifft die Pflichten des Verantwortlichen nach Beendigung einer Auftragsverarbeitung.

Der BGH stellt klar, dass ein Verantwortlicher auch nach Vertragsende weiterhin für den Schutz personenbezogener Daten verantwortlich bleibt. Es reicht nicht aus, lediglich vertragliche Löschpflichten zu vereinbaren. Vielmehr muss der Verantwortliche aktiv dazu beitragen, dass die Löschung oder Rückgabe der Daten tatsächlich erfolgt.

Nach Auffassung des Gerichts ergibt sich diese Pflicht insbesondere aus:

  • dem Grundsatz der Datenminimierung,
  • dem Grundsatz der Speicherbegrenzung,
  • der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO,
  • sowie den Anforderungen an technische und organisatorische Maßnahmen nach Art. 32 DSGVO.

Löschklauseln allein reichen nicht aus

Besonders praxisrelevant ist die Aussage des BGH, dass sich Unternehmen nicht darauf beschränken dürfen, entsprechende Regelungen in den Auftragsverarbeitungsvertrag aufzunehmen.

Das Gericht betont ausdrücklich, dass Verantwortliche nach Ende des Vertragsverhältnisses prüfen müssen, ob die vereinbarte Löschung tatsächlich durchgeführt wurde.

Im konkreten Fall hätte das Unternehmen die vertraglich geschuldete Löschbestätigung einfordern müssen. Die bloße Ankündigung einer Löschung genügte nicht.

Die Nachfrage erst mehrere Jahre später bewertete der BGH als eindeutig verspätet.

Für die Praxis bedeutet dies:

Wer Auftragsverarbeiter einsetzt, sollte den Löschprozess dokumentieren und sich die tatsächliche Durchführung nachweisen lassen.

Auftragsverarbeiter bleiben der „verlängerte Arm“ des Unternehmens

Der BGH betont erneut einen Grundsatz der DSGVO:

Der Verantwortliche bleibt auch dann „Herr der Verarbeitung“, wenn die Datenverarbeitung an einen externen Dienstleister ausgelagert wird. Der Auftragsverarbeiter handelt lediglich als verlängerter Arm des Verantwortlichen.

Die datenschutzrechtliche Verantwortung verschwindet daher nicht durch Outsourcing.

Unternehmen können sich insbesondere nicht darauf berufen, dass ein Dienstleister eigenmächtig oder vertragswidrig gehandelt habe, wenn sie selbst ihre Kontrollpflichten verletzt haben.

Daten im Darknet: Bereits der Kontrollverlust kann ein Schaden sein

Neben den Pflichten des Verantwortlichen enthält das Urteil auch wichtige Aussagen zum Schadensersatz nach Art. 82 DSGVO.

Der BGH knüpft dabei an die Rechtsprechung des Europäischen Gerichtshofs an und stellt klar:

Bereits der Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden darstellen.

Im vorliegenden Fall kam hinzu, dass die Daten tatsächlich im Darknet veröffentlicht und dort zum Verkauf angeboten wurden.

Nach Auffassung des Gerichts liegt spätestens darin eine missbräuchliche Verwendung personenbezogener Daten und damit ein ersatzfähiger immaterieller Schaden.

Sorgen vor Missbrauch können Schadensersatz begründen

Besonders bemerkenswert ist eine weitere Aussage des BGH.

Die Befürchtung eines Betroffenen, seine Daten könnten nach einer Veröffentlichung im Darknet für Spam, Phishing oder Identitätsdiebstahl missbraucht werden, kann selbst einen immateriellen Schaden darstellen. Voraussetzung ist, dass diese Sorge nachvollziehbar und objektiv begründet ist.

Das Gericht macht deutlich, dass die Anforderungen an den Nachweis solcher Befürchtungen nicht überspannt werden dürfen.

Insbesondere dürfe nicht verlangt werden, dass Betroffene bereits konkrete finanzielle Schäden nachweisen können.

Welche Folgen hat das Urteil für Unternehmen?

Die Entscheidung dürfte für viele Unternehmen Anlass sein, bestehende Prozesse im Umgang mit Auftragsverarbeitern zu überprüfen.

Besondere Aufmerksamkeit verdienen künftig:

  • Dokumentation von Löschprozessen
  • Nachweise über die tatsächliche Datenlöschung
  • Kontrollmechanismen bei Vertragsende
  • Exit-Prozesse für Cloud-Anbieter
  • Regelmäßige Audits von Auftragsverarbeitern
  • Überprüfung bestehender Auftragsverarbeitungsverträge

Unternehmen sollten sicherstellen, dass sie jederzeit nachweisen können, welche Maßnahmen sie zur Kontrolle der Datenlöschung getroffen haben.

Fazit

Mit seinem Urteil vom 11. November 2025 stärkt der Bundesgerichtshof die Rechenschaftspflichten von Verantwortlichen deutlich. Wer personenbezogene Daten an einen Auftragsverarbeiter übermittelt, bleibt auch nach Vertragsende verantwortlich und muss aktiv kontrollieren, dass Daten tatsächlich gelöscht oder zurückgegeben werden.

Gleichzeitig bestätigt der BGH die zunehmend betroffenenfreundliche Rechtsprechung zum immateriellen Schadensersatz nach Art. 82 DSGVO. Bereits der Verlust der Kontrolle über personenbezogene Daten sowie nachvollziehbare Sorgen vor einem Missbrauch können einen ersatzfähigen Schaden darstellen.

Unternehmen sollten daher ihre Prozesse zur Auswahl, Überwachung und Beendigung von Auftragsverhältnissen kritisch überprüfen. Wir unterstützen Sie gern bei der rechtssicheren Gestaltung von Auftragsverarbeitungsverträgen, Löschkonzepten, Kontrollprozessen und Datenschutz-Management-Systemen.

Veröffentlicht unter Datenschutz, Unternehmen | Verschlagwortet mit , , , , , , , | Kommentar hinterlassen

Mobile Apps als unterschätztes Sicherheitsrisiko – Warum Cyberresilience auch auf dem Smartphone beginnt

Veröffentlicht am 2. Juni 2026 von SWinkler

Cyberangriffe finden längst nicht mehr nur am Arbeitsplatz statt

Wenn Unternehmen über Cybersecurity sprechen, denken viele zunächst an Firewalls, Server, Cloud-Dienste oder Phishing-Mails. Dabei wird ein Risiko häufig unterschätzt: Mobile Apps.

Smartphones und Tablets sind heute fester Bestandteil des Arbeitsalltags. Mitarbeiter greifen unterwegs auf E-Mails zu, bearbeiten Dokumente, kommunizieren über Messenger-Dienste, nutzen Cloud-Anwendungen oder greifen über mobile Apps auf Unternehmenssysteme zu. Gleichzeitig bieten Unternehmen ihren Kunden immer häufiger eigene Apps für Bestellungen, Serviceanfragen, Buchungen oder digitale Dienstleistungen an.

Je stärker Unternehmen auf mobile Anwendungen setzen, desto größer wird jedoch auch die Angriffsfläche für Cyberkriminelle.

Warum mobile Apps ein attraktives Angriffsziel sind

Mobile Anwendungen haben sich vom praktischen Helfer zum zentralen Zugangspunkt für digitale Dienste entwickelt. Viele Geschäftsprozesse werden inzwischen über Smartphones abgewickelt. Gleichzeitig enthalten mobile Apps häufig hochsensible Informationen und dienen als Zugang zu weiteren Systemen.

Ein erfolgreicher Angriff auf eine mobile Anwendung kann deshalb weitreichende Folgen haben:

  • Zugriff auf Kunden- und Mitarbeiterdaten
  • Kompromittierung von Benutzerkonten
  • Identitätsdiebstahl
  • Zugriff auf Unternehmensnetzwerke
  • Umgehung bestehender Sicherheitsmaßnahmen
  • Vorbereitung weiterer Angriffe

Mobile Endgeräte werden dadurch zunehmend zum Einfallstor für größere Sicherheitsvorfälle.

Smishing, Vishing und mobile Phishing-Angriffe nehmen zu

Cyberkriminelle haben längst erkannt, dass Menschen auf Smartphones häufig weniger aufmerksam agieren als am Arbeitsplatz.

Während viele Mitarbeiter bei verdächtigen E-Mails inzwischen vorsichtiger geworden sind, funktionieren Angriffe über mobile Endgeräte oft deutlich erfolgreicher.

Besonders verbreitet sind:

Smishing

Beim sogenannten Smishing erhalten Betroffene täuschend echt wirkende SMS-Nachrichten. Darin werden sie beispielsweise aufgefordert,

  • Passwörter zurückzusetzen,
  • Paketlieferungen zu bestätigen,
  • Kontodaten zu aktualisieren
  • oder Sicherheitswarnungen zu prüfen.

Ein einziger Klick auf den enthaltenen Link kann ausreichen, um Schadsoftware zu installieren oder Zugangsdaten preiszugeben.

Vishing

Beim Vishing nutzen Angreifer Telefonanrufe, um Vertrauen aufzubauen und sensible Informationen zu erlangen. Moderne KI-Technologien ermöglichen es inzwischen, Stimmen täuschend echt zu imitieren oder Gesprächssituationen glaubwürdig zu simulieren.

Mobile Phishing

Hinzu kommen klassische Phishing-Angriffe über Messenger, soziale Netzwerke oder mobile Browser. Die kleinen Bildschirme mobiler Geräte erschweren es zusätzlich, verdächtige URLs oder Manipulationen zu erkennen.

Eigene Unternehmens-Apps als Risiko

Nicht nur fremde Anwendungen stellen ein Risiko dar. Auch selbst entwickelte Apps können Sicherheitslücken enthalten.

In vielen Projekten steht die schnelle Markteinführung im Vordergrund. Sicherheitsaspekte werden häufig erst kurz vor dem Go-live oder sogar erst nach der Veröffentlichung betrachtet. Dadurch entstehen Risiken wie:

  • unsichere Programmierschnittstellen (APIs)
  • unverschlüsselte Datenspeicherung
  • fehlerhafte Authentifizierungsverfahren
  • mangelhafte Zugriffskontrollen
  • fehlender Schutz vor Manipulationen

Angreifer nutzen solche Schwachstellen gezielt aus, um Daten auszulesen oder die Funktionsweise einer App zu manipulieren. Reverse Engineering, Code Injection oder Manipulationen auf kompromittierten Geräten gehören inzwischen zu den etablierten Angriffsmethoden.

Cyberresilience bedeutet mehr als App-Sicherheit

Viele Unternehmen konzentrieren sich auf den Schutz einzelner Anwendungen. Cyberresilience verfolgt jedoch einen deutlich umfassenderen Ansatz.

Die entscheidende Frage lautet:

Wie handlungsfähig bleibt das Unternehmen, wenn eine mobile Anwendung kompromittiert wird?

Deshalb sollten mobile Anwendungen immer Bestandteil der Notfall- und Krisenplanung sein.

Folgende Fragen sollten beantwortet werden:

  • Welche Geschäftsprozesse hängen von mobilen Apps ab?
  • Welche Daten werden über mobile Anwendungen verarbeitet?
  • Welche Systeme können über die App erreicht werden?
  • Welche Auswirkungen hätte ein Ausfall?
  • Wie erfolgt die Wiederherstellung?
  • Wer informiert Kunden und Geschäftspartner?

Notfallpläne für mobile Anwendungen

Unternehmen sollten ihre bestehenden Notfallkonzepte um mobile Anwendungen ergänzen.

Dazu gehören insbesondere:

Incident-Response-Pläne

Der Umgang mit Sicherheitsvorfällen in mobilen Anwendungen sollte klar definiert sein. Verantwortlichkeiten, Eskalationswege und Kommunikationsmaßnahmen müssen dokumentiert werden.

Wiederherstellungskonzepte

Apps müssen aktualisiert, deaktiviert oder im Ernstfall aus den App-Stores entfernt werden können. Gleichzeitig muss sichergestellt werden, dass kritische Geschäftsprozesse weiterlaufen.

Kommunikationspläne

Kommt es zu einem Sicherheitsvorfall, müssen Kunden, Mitarbeiter und gegebenenfalls Aufsichtsbehörden informiert werden. Wer dies übernimmt und welche Informationen bereitgestellt werden, sollte bereits im Vorfeld festgelegt sein.

Notfallpläne müssen regelmäßig getestet werden

Wie bei allen Bereichen der Cyberresilience gilt auch hier:

Ein Konzept allein schafft noch keine Sicherheit.

Viele Unternehmen verfügen zwar über Richtlinien und Notfallpläne, testen diese jedoch nie unter realistischen Bedingungen.

Gerade mobile Anwendungen verändern sich häufig:

  • neue Versionen werden veröffentlicht,
  • Funktionen werden erweitert,
  • Schnittstellen werden angepasst,
  • externe Dienste werden integriert.

Dadurch können bestehende Sicherheitsannahmen schnell überholt sein.

Regelmäßige Tests, Sicherheitsanalysen und Krisenübungen helfen dabei, Schwachstellen frühzeitig zu erkennen und die Wirksamkeit der getroffenen Maßnahmen zu überprüfen.

Fazit

Mobile Anwendungen sind längst nicht mehr nur praktische Zusatzfunktionen. Sie sind zentrale Bestandteile moderner Geschäftsprozesse und gleichzeitig attraktive Angriffsziele für Cyberkriminelle.

Unternehmen sollten mobile Apps deshalb nicht isoliert betrachten, sondern als festen Bestandteil ihrer Cyberresilience-Strategie. Neben sicheren Entwicklungsprozessen sind insbesondere Notfallpläne, Wiederherstellungskonzepte und regelmäßige Tests entscheidend, um auch im Ernstfall handlungsfähig zu bleiben.

Wer mobile Anwendungen in seine Sicherheits- und Krisenplanung integriert, reduziert nicht nur das Risiko von Datenschutzverletzungen und Sicherheitsvorfällen, sondern stärkt nachhaltig die Widerstandsfähigkeit des gesamten Unternehmens.

Wir unterstützen Unternehmen gern bei der Entwicklung von Sicherheits- und Notfallkonzepten, der Durchführung von Risikoanalysen sowie bei der Stärkung ihrer Cyberresilience im Einklang mit den Anforderungen der DSGVO, der ISO 27001 und den kommenden NIS2-Vorgaben.

Veröffentlicht unter IT-Sicherheit, Unternehmen | Kommentar hinterlassen

Cyberresilience in Unternehmen: Warum Notfallpläne allein nicht ausreichen

Veröffentlicht am 1. Juni 2026 von SWinkler

Ein Notfallplan im Schrank schützt kein Unternehmen

Viele Unternehmen haben inzwischen erkannt, dass Cyberangriffe, IT-Ausfälle und technische Störungen keine theoretischen Risiken mehr sind. Fast täglich berichten Medien über Ransomware-Angriffe, Datenverluste, Lieferkettenangriffe oder den Ausfall kritischer IT-Systeme. Die Reaktion vieler Unternehmen ist nachvollziehbar: Es werden Notfallpläne erstellt, Richtlinien verabschiedet und Verantwortlichkeiten definiert.

Weiterlesen
Veröffentlicht unter IT-Sicherheit, Unternehmen | Verschlagwortet mit , , , , , , , | Kommentar hinterlassen

EuGH: Wann wird ein Auskunftsersuchen nach Art. 15 DSGVO rechtsmissbräuchlich?

Veröffentlicht am 31. Mai 2026 von SWinkler

Aus meiner Sicht ist dies eines der wichtigsten DSGVO-Urteile der letzten Jahre zum Auskunftsrecht nach Art. 15 DSGVO, weil der EuGH erstmals ausdrücklich anerkennt, dass sogar ein erstmaliger Auskunftsantrag rechtsmissbräuchlich und damit „exzessiv“ sein kann. Gleichzeitig stärkt das Gericht die Schadensersatzansprüche Betroffener bei Verletzungen des Auskunftsrechts.

Weiterlesen
Veröffentlicht unter Unternehmen | Verschlagwortet mit , , , , , , , | Kommentar hinterlassen

Datenschutzprüfung von Webseiten: Was Betreiber jetzt unbedingt beachten müssen

Veröffentlicht am 21. April 2026 von SWinkler

Die Datenschutzaufsichtsbehörden verschärfen ihre Kontrollen – und das mit spürbaren Konsequenzen für Websitebetreiber. Der aktuelle Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zeigt deutlich: Tracking-Technologien und Drittanbieter-Einbindungen stehen weiterhin im Fokus der Prüfungen. Wer hier nicht sauber arbeitet, riskiert nicht nur Beschwerden, sondern auch aufsichtsbehördliche Maßnahmen.

In diesem Artikel erfahren Sie, worauf es jetzt ankommt, welche typischen Fehler auftreten und wie Sie Ihre Website rechtssicher aufstellen.

Warum Webseiten aktuell verstärkt geprüft werden

Der HmbBfDI reagiert auf eine steigende Zahl von Beschwerden über unerwünschtes Tracking. Im Zentrum stehen dabei Technologien wie:

  • Cookies
  • Web Beacons
  • Browser-Fingerprinting
  • Drittanbieter-Skripte

Diese greifen häufig bereits beim ersten Seitenaufruf auf Endgeräte zu – oft ohne wirksame Einwilligung. Genau hier liegt das Problem.

Die rechtliche Grundlage: TDDDG und DSGVO

§ 25 TDDDG – Zugriff auf Endgeräte

Das Speichern oder Auslesen von Informationen im Browser ist grundsätzlich nur erlaubt, wenn:

eine Einwilligung vorliegt (§ 25 Abs. 1 TDDDG)

Eine Ausnahme besteht nur, wenn der Zugriff unbedingt erforderlich ist, etwa für die Anmeldung in einem Benutzerkonto (§ 25 Abs. 2 Nr. 2 TDDDG).

DSGVO – sobald Personenbezug besteht

In der Praxis kommt häufig zusätzlich die DSGVO zur Anwendung:

  • Nutzer werden identifizierbar (z. B. durch IDs)
  • Präferenzen werden gespeichert
  • Nutzungsverhalten wird analysiert

Ergebnis:

Doppelte Einwilligungspflicht (TDDDG und DSGVO)

Die Untersuchung des HmbBfDI: Zahlen und Ergebnisse

In einer anlasslosen Prüfung wurden:

  • 1.000 Webseiten untersucht
  • automatisiert mit dem Tool Website Evidence Collector (WEC) analysiert

Das Ergebnis:

  • Der Großteil der Websites war datenschutzkonform
  • 185 Webseiten wiesen jedoch Verstöße auf

Häufige Problemfälle

Besonders häufig wurden Tracking-Dienste ohne Einwilligung eingebunden:

  • Google Analytics (110 Fälle)
  • Google Maps (51)
  • Google Ads (42)
  • YouTube (20)
  • Facebook (15)

Kritisch war dabei insbesondere, dass diese Dienste bereits beim ersten Seitenaufruf aktiviert wurden, bevor die Nutzer eine Auswahl im Cookie-Banner treffen konnten.

Typische Fehler bei Websitebetreibern

Die Prüfung zeigt ein klares Muster:

Drittanbieter werden vor Einwilligung der Nutzer geladen.

  • Skripte werden direkt eingebunden
  • Cookie-Banner greift zu spät

Fehlendes Verständnis der Rechtslage

  • Anforderungen des TDDDG werden unterschätzt
  • DSGVO wird isoliert betrachtet

Fehlerhafte Cookie-Banner

  • keine echte Auswahlmöglichkeit
  • voreingestellte Einwilligungen
  • Tracking läuft unabhängig von der Entscheidung

Best Practices für eine datenschutzkonforme Website

Damit Ihre Website rechtssicher gestaltet ist, sollten Sie folgende Punkte beachten:

Einwilligung vorm Laden der Trackingtools: Drittanbieter dürfen erst eingebunden werden, wenn:

  • eine aktive Einwilligung vorliegt
  • zuvor keine Datenübertragung erfolgt ist

Saubere technische Umsetzung

  • Skripte werden bis zur Einwilligung blockiert
  • keine versteckten Verbindungen zu Drittanbietern
  • regelmäßige technische Prüfungen (z. B. mit Tools oder Entwicklertools)

Transparente Cookie-Banner

  • klare und verständliche Auswahlmöglichkeiten
  • keine manipulativen Gestaltungselemente
  • vollständige Informationen zu allen Diensten

Reduktion von Drittanbietern

  • möglichst wenige externe Dienste einzusetzen
  • lokale Lösungen zu bevorzugen
  • Tracking kritisch hinterfragen

Warum viele Websites dennoch scheitern

Die Nachprüfung des HmbBfDI zeigt ein gemischtes Bild:

  • viele Betreiber bemühen sich um Umsetzung
  • häufig bleibt die technische Umsetzung unvollständig
  • einige Verantwortliche reagieren gar nicht

Fazit:
Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess

Was jetzt entscheidend ist

Die Aufsichtsbehörden setzen weiterhin auf eine Kombination aus:

  • technischen Prüfungen
  • Beratung
  • und – falls erforderlich – aufsichtsrechtlichen Maßnahmen

Gleichzeitig zeigt sich ein erheblicher Informations- und Beratungsbedarf bei Websitebetreibern.

Fazit: Handlungsbedarf für Websitebetreiber

Die aktuellen Prüfungen verdeutlichen:
Tracking ohne Einwilligung stellt eines der größten Datenschutzrisiken dar.

Wer hier nicht sorgfältig arbeitet, riskiert:

  • Beschwerden von Nutzern
  • behördliche Prüfverfahren
  • mögliche Sanktionen

Gleichzeitig bietet sich die Chance, durch eine datenschutzkonforme Gestaltung Vertrauen aufzubauen und sich positiv vom Wettbewerb abzuheben.

Wenn Sie unsicher sind, ob Ihre Website den aktuellen datenschutzrechtlichen Anforderungen entspricht oder Sie Unterstützung bei der rechtssicheren Einbindung von Tracking-Technologien benötigen, stehen wir Ihnen sehr gern beratend zur Seite.

Veröffentlicht unter Unternehmen | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Datenschutzprüfung von Webseiten: Was Betreiber jetzt unbedingt beachten müssen

Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO: Neuer Fragenkatalog des HmbBfDI als praxisnaher Leitfaden

Veröffentlicht am 9. Februar 2026 von SWinkler

Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO gehört zu den am häufigsten genutzten – und zugleich anspruchsvollsten – Erlaubnistatbeständen der Datenschutz-Grundverordnung. Um Verantwortlichen mehr Rechtssicherheit zu geben, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen umfassenden und praxisnahen Fragenkatalog zur Interessenabwägung veröffentlicht. Das Dokument unterstützt Behörden, Unternehmen und Organisationen bei der strukturierten Durchführung einer sogenannten Legitimate Interests Assessment (LIA).

Ziel des Fragenkatalogs: Struktur, Nachvollziehbarkeit und Rechtssicherheit

Ziel des Fragenkatalogs ist es, Verantwortliche bei der sorgfältigen und dokumentierten Prüfung der Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO zu unterstützen. Im Mittelpunkt stehen dabei drei zentrale Prüfschritte, die kumulativ erfüllt sein müssen:

  1. Feststellung eines berechtigten Interesses,
  2. Erforderlichkeit der Datenverarbeitung zur Zweckerreichung sowie
  3. Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Personen.

Der Leitfaden hilft, diese Schritte nicht nur rechtlich korrekt, sondern auch nachvollziehbar zu dokumentieren. Damit wird eine belastbare Entscheidungsgrundlage geschaffen, die sowohl internen Prüfungen als auch einer Kontrolle durch Aufsichtsbehörden standhält.

Dreistufige Prüfung als Kern des Leitfadens

Der Fragenkatalog des HmbBfDI folgt einer klaren Dreistufenlogik, die sich an den aktuellen Leitlinien des Europäischen Datenschutzausschusses orientiert.

1. Berechtigtes Interesse klar definieren

Im ersten Schritt müssen Verantwortliche präzise festlegen, welches konkrete Interesse mit der Verarbeitung verfolgt wird. Der Katalog macht deutlich, dass berechtigte Interessen nicht abstrakt oder spekulativ sein dürfen. Sie müssen real, gegenwärtig und rechtmäßig sein. Gleichzeitig wird betont, dass betroffene Personen über das berechtigte Interesse transparent zu informieren sind.

2. Erforderlichkeit und Datenminimierung prüfen

Der zweite Prüfungsschritt widmet sich der Frage, ob die geplante Verarbeitung notwendig ist oder ob mildere Mittel zur Verfügung stehen. Der Leitfaden stellt hier einen engen Bezug zum Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO her. Verantwortliche müssen prüfen, ob der Zweck auch mit weniger Daten, kürzerer Speicherdauer oder alternativen technischen Lösungen erreicht werden kann.

3. Interessenabwägung mit Fokus auf Betroffenenrechte

Der umfangreichste Teil des Fragenkatalogs betrifft die eigentliche Interessenabwägung. Hier werden unter anderem berücksichtigt:

  • Art und Sensibilität der verarbeiteten Daten,
  • vernünftige Erwartungen der betroffenen Personen,
  • mögliche negative oder positive Auswirkungen der Verarbeitung,
  • besondere Schutzbedarfe, etwa bei Kindern oder sensiblen Daten,
  • technische und organisatorische Schutzmaßnahmen.

Gerade dieser Teil macht den Leitfaden besonders wertvoll, da er Verantwortliche dazu anhält, die Perspektive der betroffenen Personen systematisch einzubeziehen.

Bedeutung für Datenschutzmanagement und Rechenschaftspflicht

Der Fragenkatalog ist mehr als eine theoretische Arbeitshilfe. Er ist ein zentrales Instrument für ein wirksames Datenschutzmanagement. Durch die strukturierte Dokumentation unterstützt er Verantwortliche bei der Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Gleichzeitig fördert er Transparenz, interne Abstimmungsprozesse und eine konsistente Entscheidungsfindung.

Besonders hervorzuheben ist, dass der Leitfaden ausdrücklich als lebendes Dokument verstanden wird: Interessenabwägungen sollen regelmäßig überprüft und an veränderte Umstände angepasst werden.

Fazit: Praktische Orientierung für eine komplexe Rechtsgrundlage

Mit dem Fragenkatalog zur Interessenabwägung stellt der HmbBfDI ein praxisnahes und detailliertes Arbeitsmittel zur Verfügung, das Verantwortlichen hilft, die Rechtsgrundlage des berechtigten Interesses rechtssicher anzuwenden. Gerade weil Art. 6 Abs. 1 lit. f DSGVO offen formuliert ist, schafft der Leitfaden wertvolle Klarheit und Struktur.

Wenn du Unterstützung bei der Durchführung oder Dokumentation einer Interessenabwägung benötigst oder Fragen zur Anwendung des Leitfadens hast, stehen wir dir jederzeit gern beratend zur Seite.

Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , | Kommentare deaktiviert für Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO: Neuer Fragenkatalog des HmbBfDI als praxisnaher Leitfaden

Urteil zum Datenschutz: Österreichisches BVwG untersagt reCAPTCHA-Einsatz ohne Zustimmung

Veröffentlicht am 15. Dezember 2025 von SWinkler

Google-Dienste auf Webseiten: Wann eine Einwilligung zwingend erforderlich ist

Ein Urteil des Bundesverwaltungsgerichts (13.09.2024, GZ: W298 2274626-1) schafft Klarheit: Die Einbindung von Google reCAPTCHA auf Webseiten ist ohne vorherige Einwilligung der Nutzerinnen und Nutzer nicht zulässig. Der Dienst, der Bots abwehren soll, setzt automatisch Cookies und überträgt Daten an Google – auch ohne Zustimmung. Genau das ist laut BVwG unzulässig.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Urteil zum Datenschutz: Österreichisches BVwG untersagt reCAPTCHA-Einsatz ohne Zustimmung

Microsoft 365 auf dem Prüfstand des HBDI:

Veröffentlicht am 23. November 2025 von SWinkler

HBDI-Bericht zu Microsoft 365 (November 2025)

Am 15. November 2025 hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einen umfassenden Bericht zur datenschutzrechtlichen Bewertung von Microsoft 365 (M365) veröffentlicht. Dieser Bericht ist das Ergebnis mehrmonatiger Verhandlungen des HBDI (unter Leitung von Prof. Dr. Alexander Roßnagel) mit Microsoft. Ziel war es herauszufinden, unter welchen Bedingungen ein datenschutzkonformer Einsatz von M365 möglich ist – und zwar praxisnah für Unternehmen, Behörden und Bildungseinrichtungen. Zwar bezieht sich der Bericht hauptsächlich auf jene Einrichtungen in Hessen, gilt aber letztendlich in ganz Deutschland.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , , , , , | Kommentare deaktiviert für Microsoft 365 auf dem Prüfstand des HBDI:

Anwesenheitserfassung mit Teams?

Veröffentlicht am 5. November 2025 von SWinkler

Microsoft hat angekündigt, ab Dezember 2025 eine neue Funktion in Microsoft Teams einzuführen, mit der Arbeitgeber künftig die Anwesenheit ihrer Mitarbeitenden im Büro erfassen können. Dafür sollen Kalenderdaten, Statusinformationen und Arbeitsplatzbuchungen automatisch zusammengeführt werden.

Was Microsoft als Beitrag zu „Raum- und Ressourcenoptimierung“ bewirbt, ist in Wahrheit ein System zur digitalen Anwesenheitskontrolle – und damit in Deutschland datenschutzrechtlich nicht zulässig.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Anwesenheitserfassung mit Teams?

Gesundheitsdaten von Beschäftigten: Wo Datenschutz die Grenze zieht

Veröffentlicht am 17. Oktober 2025 von SWinkler

Wenn Mitarbeitende krank werden, stellt sich für Arbeitgeber schnell die Frage: Besteht weiterhin Anspruch auf Lohnfortzahlung – oder springt schon die Krankenkasse ein?
Damit ein Unternehmen das prüfen kann, werden manchmal Gesundheitsdaten benötigt. Doch der Umgang mit diesen Informationen ist heikel. Die Landesdatenschutzbeauftragte NRW (LDI NRW) hat nun erstmals konkret erklärt, was Arbeitgeber wissen dürfen – und wo die Grenzen liegen.

Weiterlesen
Veröffentlicht unter Arbeitgeber, Arbeitnehmer, Betriebsrat | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Gesundheitsdaten von Beschäftigten: Wo Datenschutz die Grenze zieht