Archiv: News

Immer mehr Parkflächen werden mit automatisierten Systemen überwacht, die Kennzeichen erfassen und den Parkvorgang dokumentieren. Was für Betreiber eine effiziente Lösung zur Kontrolle darstellt, wirft aus datenschutzrechtlicher Sicht wichtige Fragen auf: Wann dürfen Kennzeichen erfasst werden? Wie müssen Nutzer informiert werden? Und welche Hinweise sind auf Schildern erforderlich, damit die Informationspflichten der DSGVO erfüllt sind?

Wichtige Punkte:

• Eine Rechtsgrundlage nach Art. 6 DSGVO ist zwingend erforderlich.
• Betroffene müssen rechtzeitig nach Art. 13 DSGVO informiert werden, nicht erst an der Schranke.
• Hinweise sollten den Begriff „Kfz-Kennzeichenerfassung“ verwenden und durch ein leicht verständliches Symbol ergänzt werden.

Lesen Sie mehr unter:
https://www.datenschutz.sachsen.de/datenschutz-bei-parkraumueberwachung-6484.html

Vorlage zur Anzeige der Kennzeichenerfassung:
https://www.datenschutz.sachsen.de/download/Gestaltungsvorschlag_Symbol_Kennzeichenerfassung.pdf

Kundendaten sind für viele Unternehmen ein zentraler Bestandteil des Geschäftserfolges, gleichzeitig stellen sie ein sensibles Gut dar. Ein unzureichender Schutz kann zu Vertrauensverlust und rechtlichen Konsequenzen führen. Daher stellt sich die Frage: Wie lassen sich Daten so verarbeiten, dass sie für Analysen, Statistiken oder Geschäftsprozesse genutzt werden können, ohne den Datenschutz zu verletzen?

Zwei Verfahren sind hier besonders relevant:

• Anonymisierung: Daten werden so verändert, dass ein Personenbezug dauerhaft ausgeschlossen ist. In diesem Fall findet die DSGVO keine Anwendung mehr.
• Pseudonymisierung: Personenbezüge werden durch Pseudonyme ersetzt. Die Daten bleiben zwar dem Grundsatz nach personenbezogen, sind aber besser geschützt und erhöhen die Sicherheit der Verarbeitung nach Art. 32 DSGVO.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/anonymisierung_pseudonymisierung_von_kundendaten.pdf

Nicht selten passiert es, dass Unternehmen kollektive Inhalte von Nutzern ohne Erlaubnis an Drittanbieter für Werbemittel verkaufen, ohne, dass die Nutzer als Urheber dieser Inhalte einen Teil der Einnahmen erhalten oder gar davon wissen. Eine solche Methode wurde zuletzt bei Unternehmen wie Meta, Betreiber von WhatsApp und Facebook, kritisiert, da Medien wie Bilder und Videos biometrische Daten enthalten, die wiederum datenschutzrechtlich geschützt sind.

Zuletzt geriet hier Anbieter der Videosoftware CapCut in den Fokus, in dessen neuen Terms of Service verdeutlicht wird, dass Nutzerinhalte, die in diesem Dienst auf den Server hochgeladen werden, an Partner und Drittanbieter zur vollständigen Nutzung und Variation zur Verfügung gestellt werden.

Hinter „Terms of Service“ bzw. AGBs verstecken sich häufig Klauseln, die von Benutzern überlesen oder ignoriert, aber dennoch akzeptiert werden. Dabei stell in vielen Situationen die Nutzung der Software bereits das Akzeptieren dieser Bedingungen dar. 

Um böse Überraschungen für die eigenen oder Unternehmens zu vermeiden, befolgen Sie am besten folgende Best Practictes

• Lesen Sie die AGB immer genau durch und akzeptieren Sie keine Neuerungen, ohne sie vorher gelesen zu haben
• Lesen Sie die AGB durch, BEVOR Sie den Dienst nutzen
• Löschen Sie Ihren Account und deinstallieren Sie die Software, sobald Sie mit neuen AGBs nicht (mehr) einverstanden sind.
• Fordern Sie das Unternehmen hinter dem Dienst zur ausnahmslosen Löschung aller durch Sie gespeicherten Daten auf.
• Machen Sie jederzeit von Ihren Rechten nach der DSGVO Gebrauch, vor allem auf:
  • Recht auf Auskunft
  • Recht auf Löschung

Lesen Sie mehr unter:
Datenschutzgesetze und Unternehmen

Die Führerscheinkontrolle stellt eine Verarbeitung personenbezogener Daten dar. Damit diese zulässig ist, braucht es eine Rechtsgrundlage. In der Regel stützt sich diese auf das berechtigte Interesse des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO) in Verbindung mit der Haltersorgfaltspflicht. Gleichzeitig sind die Grundsätze der Datenminimierung und Zweckbindung zu beachten.

Praktische Umsetzung

• Frequenz: Eine Kontrolle pro Halbjahr ausreichend.
• Dokumentation: Es sollte nur die Kontrolle dokumentiert werden, nicht der Führerschein kopiert.
• Verfahren: Eine persönliche Sichtkontrolle ist meist datenschutzfreundlicher als digitale Verfahren, die Scans speichern.

Besonderheiten bei digitalen Lösungen

Immer mehr Unternehmen nutzen Apps oder digitale Tools für die Führerscheinkontrolle.
Dabei ist zu prüfen:

• Welche Daten werden erhoben und gespeichert?
• Wo werden diese gespeichert?
• Wer hat Zugriff darauf?

Der Datenschutzbeauftragte sollte frühzeitig eingebunden werden.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat das Thema in seinem Tätigkeitsbericht für das Jahr 2024 (S. 113–117) umfassend aufgegriffen. Er erläutert dabei nicht nur, worauf Arbeitgeber bei der Kontrolle von Personalausweisen ihrer Beschäftigten achten müssen, sondern weist auch auf die besondere gesetzliche Grundlage für das Kopieren von Personalausweisen hin (§ 20 Abs. 2 Personalausweisgesetz). Gerade für größere Unternehmen mit einer eigenen Fuhrparkleitung ist das relevant, da dort häufig nicht jeder Mitarbeiter persönlich bekannt ist.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/fuehrerscheinkontrollen_durch_arbeitgeber.pdf

Auszug aus dem Tätigkeitsbericht des HBDI zur Führerscheinkontrolle:
https://www.datenschutz-prodatis.com/nl/Auszug_Fuehrerschein_TB_Hessen_LfD_53_2024.pdf

Vollständiger Tätigkeitsbericht des HBDI:
https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2025-05/53-tb-online.pdf

Mit dem neuen Windows 11 24H2 hat Microsoft das modernisierte Outlook zur Standardanwendung gemacht, es ist fester Bestandteil des Betriebssystems und ersetzt zunehmend das klassische Outlook. Viele Unternehmen und Organisationen nutzen es bereits aktiv. Doch mit der neuen Oberfläche und Technik kommen auch neue Anforderungen an die IT-Sicherheit, insbesondere im Kampf gegen Phishing-Angriffe.

In dieser Ausgabe unseres Newsletters zeigen wir, wie Sie Outlook und Microsoft 365 richtig konfigurieren, um Ihr Unternehmen effektiv durch technische und organisatorische Maßnahmen zu schützen.

• Phishing-Filter in Microsoft 365 optimal konfigurieren
• Sichere Absender und blockierte Domains managen
• Outlook gezielt für mehr E-Mail-Sicherheit einstellen
• Gefährliche Mails einfach melden und blockieren
• Microsoft Defender sinnvoll nutzen

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Das_neue_Outlook_und_der_Schutz_vor_Phishing.pdf

Ab dem 27. Mai wird Metas hauseigene KI „Meta-AI“ öffentliche Nutzerinformationen nutzen, um zu trainieren, doch was bedeutet das?

Spricht man davon eine KI zu trainieren, so handelt es sich um einen Prozess, der die künstliche Intelligenz mit Informationen füttern soll, um Zusammenhänge in Bild, Wort und Schrift zu analysieren, zu verstehen und für die eigenen Prozesse dauerhaft zu nutzen.

Was bedeutet dies nun für Sie als Mitarbeiter?

Nutzen Sie WhatsApp für firmeninterne Kommunikation, müssen Sie jetzt genau darauf achten, wo und vor allem was Sie teilen. Zwar sieht die KI keine Chats zwischen einzelnen Nutzern, da diese verschlüsselt sind, allerdings trifft dies nicht auf öffentliche Gruppenchats zu. Darüber hinaus nutzt die KI alle öffentlichen Informationen der Nutzer wie den Namen, Benutzernamen, das Profilbild oder sogar ganze Beiträge.

Zudem verwendet die KI alle Inhalte, die mit ihr in der WhatsApp-internen Kommunikation geteilt werden. Vermeiden Sie es daher, sensible Firmendetails wie Kundendaten, Stammdaten oder Kommunikationsinhalte in diesen KI-Chats zu teilen.
Leider gibt es für WhatsApp-Nutzer nach dem 26.Mai 2025 keine Möglichkeit mehr, diesem Zugriff zu widersprechen. Wie Sie Ihre Daten dennoch schützen können, erfahren Sie in einem Beratungsgespräch und in unseren Datenschutz-Schulungen.

Ein aktueller Gerichtsfall sorgt für Diskussion: Ein Unternehmen wurde Ziel eines Angriffs, bei dem sich Kriminelle über ein zuvor gehacktes E-Mail-Konto Zugriff auf das Rechnungssystem verschafften. Von dort versendeten sie täuschend echte Rechnungen, allerdings mit gefälschten Kontodaten. Die betroffenen Kunden zahlten gutgläubig an die Betrüger. Als das Unternehmen feststellte, dass kein Geld eingegangen war, forderte es die Kunden zur erneuten Überweisung auf, diesmal an das richtige Konto.

Eine Kundin weigerte sich jedoch, ein zweites Mal zu zahlen. Sie argumentierte, sie habe die Rechnung bereits beglichen, wenn auch unwissentlich an die falschen Empfänger. Das Oberlandesgericht Schleswig gab ihr recht: Die Firma habe gegen die DSGVO verstoßen, da sie nicht ausreichend für die Sicherheit ihrer Systeme gesorgt habe und keine sichere Ende-zu-Ende-Verschlüsselung für den Rechnungsversand nutzt. Der Zugriff auf die Kundendaten und die Verfälschung der Rechnungen hätten durch bessere Schutzmaßnahmen verhindert werden können. Die übliche Transportverschlüsselung reiche nicht aus, um die Rechnungen vor Manipulation zu schützen.

Ob der Fall damit endgültig entschieden ist, bleibt offen: Das Urteil ist noch nicht rechtskräftig. Die Revision zum Bundesgerichtshof wurde bereits eingelegt. Es bleibt also abzuwarten, wie das höchste deutsche Zivilgericht diesen Fall beurteilen wird.

Die Entscheidung des OLG hat jedoch bereits bei vielen Unternehmen für spürbare Unsicherheit gesorgt. Viele von ihnen verzichten inzwischen darauf, Rechnungen per E-Mail an Endverbraucher zu verschicken, aus Angst, im Betrugsfall auf ihren Forderungen sitzen zu bleiben

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Versand_manipulierter_Rechnungen.pdf

Die ISO/IEC 27001:2022 gilt als der internationale Standard für Informationssicherheit – und bietet dabei weit mehr als nur technischen Schutz. Für Datenschutzbeauftragte (DSB) ist sie ein wertvoller Kompass: Sie erleichtert die systematische Erfassung von Datenverarbeitungen, unterstützt bei der Erstellung von Datenschutz-Folgenabschätzungen und bietet einen klaren Rahmen für das Risikomanagement. Besonders hilfreich ist die strukturierte Beschreibung von sogenannten „Assets“, also schützenswerten Ressourcen wie IT-Systeme, Datenbanken oder Dokumente. Damit lassen sich sensible Daten gezielter identifizieren, Schutzmaßnahmen besser ableiten und Zugriffsrechte sinnvoll organisieren.

Die ISO 27001 bringt auch einen enormen praktischen Nutzen bei der Zusammenarbeit zwischen Datenschutz- und Informationssicherheitsbeauftragten. Gemeinsame Richtlinien und technische Maßnahmen wie Verschlüsselung, Zugriffskontrolle oder Backup-Strategien schaffen Synergien, die nicht nur die DSGVO-Compliance stärken, sondern auch das Unternehmen insgesamt resilienter machen. Die 93 Controls der ISO-Norm bilden dabei eine solide Grundlage für technische und organisatorische Schutzmaßnahmen, die ideal mit den Anforderungen der DSGVO harmonieren.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/ISO27001_Das_bringt_die_Zertifizierung_fuer_den_DS.pdf

Mit Blick auf die rechtliche Grundlage von Datenverarbeitungen im Arbeitsverhältnis sorgt ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH, C-65/23) für Klarheit – und gleichzeitig für große Unsicherheit. Bisher galten Betriebs- und Dienstvereinbarungen als verlässliche Basis für die Verarbeitung von Beschäftigtendaten. Doch der EuGH hat deutlich gemacht: Auch solche Vereinbarungen müssen alle Grundprinzipien der DSGVO erfüllen. Die Einhaltung von Transparenz, Datenminimierung, Zweckbindung und die Wahrung der Betroffenenrechte sind uneingeschränkt erforderlich.

Zudem betont das Gericht, dass Betriebsparteien bei der Beurteilung der Erforderlichkeit einer Verarbeitung zwar über Fachkenntnis verfügen, aber dennoch keine Ausnahmen oder Lockerungen zulässig sind. Die Kontrolle darüber liegt vollständig bei den Gerichten. Für die Praxis bedeutet das: Bestehende Betriebs- oder Dienstvereinbarungen sollten kritisch überprüft und gegebenenfalls überarbeitet werden. Empfehlenswert ist es, die Regelungen künftig mit einer DSGVO-konformen Rechtsgrundlage wie Art. 6 Abs. 1 Buchst. b oder f zu verknüpfen – insbesondere dann, wenn sensible Daten betroffen sind.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Die_BV_als_Basis_fuer_Datenverarbeitungen.pdf

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer 109. Sitzung am 26. und 27. März 2025 in Berlin ein klares Signal gesendet: Eine zukunftsfähige Digitalpolitik muss die Grundrechte der Bürgerinnen und Bürger in den Mittelpunkt stellen. In einem aktuellen Eckpunktepapier fordert die DSK die künftige Bundesregierung auf, Digitalisierung und Datenschutz konsequent zusammenzudenken.

Die zentralen Forderungen im Überblick:

• Bundesdatenschutzgesetz und Beschäftigtendatenschutz reformieren
  Die DSK plädiert für eine zentrale Zuständigkeitsregelung bei bundesweiten Sachverhalten sowie für eine Institutionalisierung der DSK. Für den Beschäftigtendatenschutz braucht es klare gesetzliche Regelungen – insbesondere im Umgang mit algorithmischen Systemen und der Leistungsüberwachung am Arbeitsplatz.
• Grundrechtecheck für Sicherheitsgesetze einführen
  Neue Sicherheitsgesetze, etwa im Bereich der Gesichtserkennung oder KI-gestützten Datenanalyse, müssen auf ihre Verfassungskonformität geprüft werden. Die DSK fordert verpflichtende Grundrechteprüfungen – unter Berücksichtigung der Rechtsprechung des Bundesverfassungsgerichts und europäischer Vorgaben.
• EU-Digitalgesetze besser mit der DSGVO abstimmen
  Die Harmonisierung von Rechtsakten wie dem Data Act und der KI-Verordnung mit der DSGVO ist essenziell für Rechtsklarheit und effektiven Grundrechtsschutz.
• Innovationen und KI datenschutzkonform fördern
  Die Bundesregierung soll gesetzliche Rahmenbedingungen für den verantwortungsvollen Einsatz von Künstlicher Intelligenz, Forschung und Innovation schaffen – unter Wahrung der Rechte Betroffener und mit unabhängiger Aufsicht.
• Souveräne Clouds und Datenschutzcockpit ausbauen
  Für eine moderne Verwaltung braucht es digitale Souveränität. Die DSK fordert die Berücksichtigung ihrer Kriterien für Souveräne Clouds sowie den Ausbau des Datenschutzcockpits zur Erhöhung von Transparenz und Kontrolle über Datenverarbeitung.

Weitere Beschlüsse der 109. DSK:

• Die DSK hat die Verfahren gegen OpenAI an die irische Datenschutzaufsicht (DPC) abgegeben. Die im Jahr 2023 erhobenen Erkenntnisse aus dem ChatGPT-Prüfverfahren werden zur weiteren Bearbeitung übergeben.
• Die Zusammenarbeit mit der Bundesnetzagentur im Rahmen des Digital Services Act wird künftig durch eine verschlankte Kommunikationsstruktur unterstützt. 

DSK – Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft:
https://www.datenschutzkonferenz-online.de/media/en/Entschliessung_Datenschutzpolitisches_Eckpunktepapier.pdf

Pressemitteilung der Sächsischen Datenschutz- und Transparenzbeauftragten:
https://www.datenschutz.sachsen.de/dsk-forderungen-an-kuenftige-bundesregierung.html