Die Datenschutzaufsichtsbehörden in Europa erhöhen erneut den Druck auf Unternehmen:
Im Rahmen des Coordinated Enforcement Framework (CEF) 2026 startet der Europäische Datenschutzausschuss (EDSA) eine koordinierte Prüfaktion, mit einem klaren Schwerpunkt auf Transparenz und Informationspflichten gemäß DSGVO.
Auch Niedersachsen ist aktiv beteiligt.
Im Fokus stehen die zentralen Vorschriften der DSGVO:
Art. 13 DSGVO → Informationspflicht bei Direkterhebung
Art. 14 DSGVO → Informationspflicht bei Dritterhebung
Das bedeutet konkret:
Unternehmen müssen nachvollziehbar und vollständig erklären können:
Welche personenbezogenen Daten sie verarbeiten
Zu welchem Zweck die Verarbeitung erfolgt
Auf welcher Rechtsgrundlage dies geschieht
Wie lange Daten gespeichert werden
Welche Rechte Betroffene haben
Kurz gesagt: Transparenz wird geprüft, nicht nur auf dem Papier, sondern praktisch.
Der Landesbeauftragte für den Datenschutz Niedersachsen plant:
15 Unternehmen
5 Kommunen
gezielt anzuschreiben und zu prüfen.
Dabei geht es nicht nur um Dokumente, sondern um echte Prozesse:
Wie werden Betroffene informiert?
Wann erfolgt die Information?
Sind die Inhalte verständlich und vollständig?
Wie ist die Umsetzung organisatorisch geregelt?
Die Aussage von Denis Lehmkemper bringt es auf den Punkt:
Transparenz ist die Grundlage dafür, dass Betroffene ihre Rechte überhaupt wahrnehmen können.
Für Unternehmen bedeutet das:
→ Es reicht nicht mehr, „irgendwo eine Datenschutzerklärung“ zu haben
→ Standardgeneratoren ohne Anpassung können problematisch werden
→ Prozesse müssen zur Praxis passen (nicht nur juristisch, sondern operativ)
Insgesamt beteiligen sich 25 Datenschutzaufsichtsbehörden an der Aktion.
Das Ziel:
Vergleichbare Ergebnisse in ganz Europa
Einheitlichere Bewertung von DSGVO-Umsetzungen
Gezielte Folgeprüfungen und Maßnahmen
Die Ergebnisse werden in einem gemeinsamen Bericht des EDSA zusammengeführt.
Wenn du das Thema ernst nimmst (und solltest), prüfe jetzt:
Sind alle Verarbeitungen abgedeckt?
Sind sie verständlich formuliert?
Stimmen sie mit der Realität überein?
Wann werden Betroffene informiert?
Gibt es standardisierte Abläufe?
Wer ist verantwortlich?
Bewerberdaten (Art. 13 / 14!)
Tracking / Marketing / Tools
Social Media & Joint Controllership
Nachweisbarkeit (Accountability!)
Verzeichnis von Verarbeitungstätigkeiten (VVT)
TOMs & Prozesse
Viele Unternehmen haben aktuell Probleme bei:
Unvollständigen Datenschutzerklärungen
Fehlender Information bei indirekter Datenerhebung
Widersprüchen zwischen Website und tatsächlicher Nutzung
Tools ohne korrekte Einbindung (z. B. Tracking, Plugins)
Copy-Paste-Lösungen ohne Anpassung
Genau hier werden Aufsichtsbehörden hinschauen.
Die CEF-Aktion 2026 zeigt deutlich:
Datenschutz wird operativ geprüft, nicht nur formal.
Transparenz ist kein „nice to have“, sondern Prüfungsmaßstab.
Unternehmen sollten die Gelegenheit nutzen, ihre Prozesse jetzt zu überprüfen, bevor eine Anfrage der Aufsichtsbehörde kommt.
Weitere Details findest du hier:
https://lfd.niedersachsen.de/startseite/allgemein/presseinformationen/
Im 15. Januar 2025 ist die „elektronische Patientenakte für alle“ (ePA) in Hamburg, Franken und Nordrhein-Westfalen in eine Pilotphase gestartet. Nach erfolgreichem Abschluss dieser Phase ist der bundesweite Rollout frühestens ab dem 15. Februar 2025 vorgesehen.
Bereits heute ist die Nutzung der elektronischen Patientenakte freiwillig möglich.
Mit Inkrafttreten des Digital-Gesetzes (DigiG) gilt jedoch das sogenannte Opt-out-Prinzip:
Für alle gesetzlich Versicherten wird automatisch eine ePA angelegt.
Nur wer aktiv widerspricht, erhält keine elektronische Patientenakte.
Ein Widerspruch ist vollständig oder teilweise möglich.
Das bedeutet: Wer sich nicht aktiv entscheidet, erhält automatisch eine ePA durch seine Krankenkasse.
In der elektronischen Patientenakte werden sensible Gesundheitsdaten gespeichert, beispielsweise:
Arztberichte
Diagnosen
Befunde
Medikationsdaten
Gesundheitsdaten zählen nach Art. 9 DSGVO zu den besonders schützenswerten personenbezogenen Daten.
Versicherte sollten daher prüfen:
Möchte ich die ePA nutzen?
Möchte ich nur bestimmte Daten freigeben?
Möchte ich vollständig widersprechen?
Ausführliche Informationen zum Datenschutz sowie zum Widerspruchsverfahren stellen unter anderem bereit:
Der Niedersächsische Landesbeauftragte für den Datenschutz
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Dort finden sich praxisnahe Erläuterungen zur Funktionsweise, zu Zugriffsrechten und zu individuellen Steuerungsmöglichkeiten.
Wir empfehlen, diese Informationen an Ihre Mitarbeiter weiterzuleiten, damit diese:
sich frühzeitig informieren können
eine bewusste Entscheidung treffen
ihre Rechte im Zusammenhang mit der ePA kennen
Gerade im sensiblen Bereich der Gesundheitsdaten ist Transparenz entscheidend.
Das Thema ist bereits medial aufgegriffen worden:
Immer mehr Plattformen nutzen Nutzerdaten, um eigene KI-Modelle zu trainieren.
Nach Meta Platforms (u. a. Facebook und WhatsApp) zieht nun auch LinkedIn nach.
Ab dem 3. November 2025 will LinkedIn damit beginnen, Nutzerdaten für das Training seiner KI-Systeme zu verwenden.
Nach aktuellem Stand umfasst das unter anderem:
Kurz gesagt: Ein Großteil der Inhalte, die Nutzer aktiv auf der Plattform bereitstellen.
Das zentrale Problem:
Sobald Daten in KI-Modelle einfließen, lassen sie sich faktisch nicht mehr gezielt entfernen.
Das bedeutet:
Gerade für Unternehmen und Mitarbeitende mit sensiblen Profilangaben ist das relevant.
Viele Mitarbeitende nutzen LinkedIn beruflich, oft mit sehr detaillierten Informationen.
Damit entstehen Risiken wie:
Das Thema gehört daher nicht nur in die IT, sondern auch in den Datenschutz.
Wer nicht möchte, dass seine Daten für KI-Training genutzt werden, sollte aktiv widersprechen.
LinkedIn bietet dafür entsprechende Einstellungen im Account.
Hilfreiche Ressourcen:
Auch der Landesbeauftragte für den Datenschutz Niedersachsen hat sich bereits mit dem Thema beschäftigt und entsprechende Hinweise veröffentlicht.
Gerade bei öffentlich sichtbaren Profilen lohnt sich ein genauer Blick.
Die Entwicklung zeigt klar:
Plattformen entwickeln sich zunehmend zu Datenlieferanten für KI-Systeme.
Wer nicht aktiv widerspricht, wird Teil dieser Entwicklung.
Ob das gewollt ist, sollte jeder Nutzer und jedes Unternehmen, bewusst entscheiden.
Aktuell häufen sich Berichte über unangekündigte Vor-Ort-Kontrollen durch Datenschutzaufsichtsbehörden, insbesondere in Hamburg und Mecklenburg-Vorpommern.
Für Unternehmen stellt sich damit die Frage:
Was passiert, wenn plötzlich die Aufsichtsbehörde vor der Tür steht?
Ja.
Die rechtliche Grundlage ergibt sich unter anderem aus:
Danach dürfen Aufsichtsbehörden:
Und das auch ohne vorherige Ankündigung.
Nicht die Kontrolle selbst ist meist das Problem, sondern die erste Reaktion im Unternehmen.
Typische Risiken:
Gerade die ersten Minuten entscheiden oft darüber, wie professionell das Unternehmen wahrgenommen wird.
Ein klar definierter Ablauf hilft, genau diese Situation zu entschärfen.
Ein solcher Plan sollte u. a. regeln:
Ziel ist nicht, etwas „zu verstecken“, sondern strukturiert und souverän zu reagieren.
Unternehmen, die vorbereitet sind:
Oft geht es weniger um Perfektion, sondern um nachvollziehbare Prozesse.
Unangekündigte Kontrollen erfolgen nicht willkürlich.
In der Praxis gibt es fast immer einen Anlass, z. B.:
Wer sauber arbeitet, hat in der Regel nichts zu befürchten – sollte aber trotzdem vorbereitet sein.
Unangekündigte Kontrollen sind rechtlich zulässig und kommen aktuell wieder häufiger vor.
Entscheidend ist nicht, ob sie passieren, sondern wie gut Ihr Unternehmen darauf vorbereitet ist.
Ein klarer Ablaufplan kann hier den Unterschied machen.
Jedes Jahr ist es wieder soweit:
Tausende Kinder starten mit ihrer Einschulung in einen neuen Lebensabschnitt, den sprichwörtlichen „Ernst des Lebens“.
Für Familien ist das ein besonderer Moment, der natürlich festgehalten werden soll.
Fotos von der Einschulungsfeier gehören für viele einfach dazu.
Doch genau hier taucht regelmäßig eine Frage auf:
Was ist beim Fotografieren eigentlich erlaubt?
Grundsätzlich gilt:
Fotos im privaten Rahmen sind in der Regel unproblematisch.
Wer sein eigenes Kind fotografiert, bewegt sich meist auf sicherem Terrain.
Schwieriger wird es, sobald andere Kinder oder Personen mit auf dem Bild sind.
Denn:
Hier greifen die Regelungen zum Schutz personenbezogener Daten und zum Recht am eigenen Bild.
Typische Situationen bei Einschulungen:
Gerade das Veröffentlichen oder Weitergeben von Fotos ist der entscheidende Punkt.
Ohne Einwilligung der Betroffenen bzw. der Eltern kann das problematisch sein.
Ein Foto ist mehr als nur eine Erinnerung.
Es handelt sich in der Regel um ein personenbezogenes Datum, da Personen identifizierbar sind.
Das bedeutet:
Schulen sind beim Thema besonders sensibilisiert.
Oft gibt es bereits:
Diese Vorgaben sollten unbedingt beachtet werden.
Damit der Tag nicht durch Unsicherheit getrübt wird:
Auch der Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen, hat sich in einer aktuellen Stellungnahme mit dem Thema beschäftigt und gibt hilfreiche Hinweise für Eltern und Schulen.
Die Einschulung soll vor allem eines sein:
Ein schöner und unbeschwerter Moment für Kinder und Familien
Mit ein wenig Sensibilität beim Thema Fotos lässt sich das problemlos erreichen.
Ein aktuelles Urteil des Europäischer Gerichtshof zeigt deutlich:
Was im Alltag üblich ist, ist datenschutzrechtlich nicht automatisch zulässig.
Im konkreten Fall ging es um eine scheinbar banale Frage:
Darf beim Online-Kauf eines Bahntickets die Angabe des Geschlechts verpflichtend sein?
Die französische Plattform SNCF Connect verlangte beim Ticketkauf die Auswahl zwischen „Herr“ oder „Frau“.
Ein Nutzer hielt das für unzulässig und wandte sich an die französische Datenschutzbehörde (CNIL).
Argument:
Die Angabe sei nicht erforderlich und verstoße gegen die Grundsätze der DSGVO, insbesondere:
Der EuGH bewertet die Situation klar:
Die Abfrage des Geschlechts ist nicht erforderlich für die Vertragserfüllung
→ damit keine zulässige Verarbeitung nach Art. 6 Abs. 1 lit. b DSGVO
Auch ein „berechtigtes Interesse“ greift hier nicht automatisch:
Beides war hier nicht ausreichend gegeben.
Der EuGH stellt klar:
Eine personalisierte Ansprache ist auch ohne Geschlecht möglich
Beispiel:
Damit entfällt ein häufig genutztes Argument für solche Pflichtfelder.
Das Urteil passt zu einer klaren Entwicklung:
Auch das OLG Frankfurt am Main entschied, dass beim Kauf von Bahntickets
E-Mail-Adresse oder Telefonnummer nicht verpflichtend sein dürfen,
wenn sie für den Vertrag nicht zwingend erforderlich sind.
Viele Formulare enthalten heute noch Felder wie:
Genau hier besteht Handlungsbedarf.
Grundsatz:
Nur Daten, die zwingend erforderlich sind, dürfen Pflichtangaben sein
Alles andere:
freiwillig machen
Stellen Sie sich bei jedem Feld die Frage:
„Brauche ich diese Information wirklich für die Leistung?“
Wenn die Antwort „Nein“ ist:
Unnötige Pflichtfelder bedeuten:
Gleichzeitig wirkt ein schlankes Formular oft auch nutzerfreundlicher.
Das EuGH-Urteil macht deutlich:
Datenschutz heißt: so wenig Daten wie möglich, nicht so viele wie bequem sind
Unternehmen sollten ihre Formulare regelmäßig prüfen und hinterfragen.
Das reduziert Risiko und verbessert gleichzeitig die Nutzererfahrung.
Anfang Mai 2024 sind zwei neue Gesetze in Kraft getreten, die für Unternehmen, insbesondere Website-Betreiber und IT-Verantwortliche, relevant sind.
Es geht um:
Beide Gesetze ersetzen bisherige Regelungen und erfordern teilweise Anpassungen, insbesondere im Impressum und bei Verpflichtungserklärungen für Administratoren.
Bisher beruhte die Pflicht zur Anbieterkennzeichnung auf § 5 des Telemediengesetzes (TMG). Seit dem 06.05.2024 gilt nun: Die Impressumspflicht ergibt sich aus § 5 des DDG.
Wenn in Ihrem Impressum aktuell steht:
„Angaben gemäß § 5 TMG“ oder „Angaben gemäß § 5 Telemediengesetz“
sollten Sie dies anpassen in:
„Angaben gemäß § 5 DDG“ oder „Angaben gemäß § 5 Digitale-Dienste-Gesetz“
Praxis-Tipp:
Wer rechtlich sauber und aktuell bleiben möchte, sollte die Norm anpassen – oder den Verweis ganz entfernen.
Parallel wurde das bisherige Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) durch das neue TDDDG ersetzt. Für viele Unternehmen ist das zunächst unauffällig, nicht jedoch für Administratoren von E-Mail-Servern oder Telefonanlagen.
Administratoren, die Zugriff auf Kommunikationsinhalte haben können (z. B. bei:
müssen weiterhin auf das Fernmeldegeheimnis verpflichtet werden.
Bisher erfolgte diese Verpflichtung auf Grundlage von: § 3 TTDSG
Nun gilt: § 3 TDDDG
Das bedeutet:
Bestehende Verpflichtungserklärungen sollten überprüft und ggf. aktualisiert werden. Neue Administratoren müssen auf Grundlage des TDDDG verpflichtet werden.
Sie sollten aktiv werden, wenn:
Gerade kleinere und mittlere Unternehmen übersehen häufig die Verpflichtung nach dem Fernmeldegeheimnis, dabei ist sie rechtlich zwingend.
Die Gesetzesänderungen bringen keine inhaltliche Revolution, aber formale Anpassungen sind erforderlich.
Checkliste für Unternehmen:
Mit Pressemitteilung vom 28.02.2024 hat der Niedersächsische Landesbeauftragte für den Datenschutz, Denis Lehmkemper, darüber informiert, dass sich auch die niedersächsische Datenschutzaufsicht an der europaweiten Prüfaktion „Coordinated Enforcement Framework“ (CEF) beteiligt.
Im Fokus der diesjährigen Aktion steht die Umsetzung des Auskunftsrechts nach Art. 15 DSGVO.
Das Coordinated Enforcement Framework ist eine europaweit abgestimmte Prüfmaßnahme der Datenschutzaufsichtsbehörden. Insgesamt beteiligen sich rund 30 Datenschutzbehörden im gesamten Europäischen Wirtschaftsraum an der Aktion.
Ziel ist es, die praktische Umsetzung datenschutzrechtlicher Pflichten in Unternehmen vergleichbar zu überprüfen und europaweit einheitliche Standards zu fördern.
Im Mittelpunkt der aktuellen Prüfung steht die Umsetzung des Rechts auf Auskunft durch Verantwortliche. Dieses Recht ermöglicht betroffenen Personen, umfassende Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erhalten.
Geprüft wird insbesondere:
Kerninstrument der Prüfung ist ein strukturierter Fragebogen, der an ausgewählte Unternehmen aus unterschiedlichen Wirtschaftszweigen versendet wird.
Neben Niedersachsen beteiligen sich unter anderem auch die Datenschutzaufsichtsbehörden aus Bayern, Brandenburg, Mecklenburg-Vorpommern, Rheinland-Pfalz, Saarland und Schleswig-Holstein.
Der konkrete Fragebogen ist derzeit noch nicht öffentlich verfügbar. Erfahrungsgemäß dürften die Fragen jedoch auf folgende Punkte abzielen:
Unternehmen sollten daher prüfen, ob ihre internen Abläufe strukturiert dokumentiert und praktisch umsetzbar sind.
Das Auskunftsrecht gehört zu den am häufigsten geltend gemachten Betroffenenrechten. Fehler in der Bearbeitung, etwa unvollständige Auskünfte, Fristversäumnisse oder unsichere Übermittlungswege, können schnell zu Beschwerden bei Aufsichtsbehörden führen.
Die koordinierte europaweite Prüfung zeigt, dass dieses Thema weiterhin hohe Priorität hat.
Sollte Ihr Unternehmen im Rahmen der CEF-Aktion einen Fragebogen erhalten, empfiehlt es sich, diesen sorgfältig zu prüfen und strukturiert zu beantworten.
Gerne unterstützen wir Sie bei:
Sollten Sie von der Aktion betroffen sein, lassen Sie uns den Fragebogen bitte zukommen, damit wir ihn gemeinsam mit Ihnen prüfen und beantworten können.
Am 20. Dezember 2023 hat das Arbeitsgericht Suhl (Az.: 6 Ca 704/23) ein interessantes Urteil zum Thema Auskunftsrecht nach Art. 15 DSGVO veröffentlicht. Der Fall zeigt deutlich, dass nicht nur der Inhalt einer Betroffenenauskunft entscheidend ist, sondern auch die Art der Übermittlung.
Ein Arbeitnehmer verlangte von seinem Arbeitgeber Auskunft über alle zu seiner Person gespeicherten Daten. Der Arbeitgeber kam dieser Aufforderung grundsätzlich nach und stellte die entsprechenden Informationen zur Verfügung.
Dennoch kam es zum Rechtsstreit:
Der Arbeitnehmer forderte 10.000 € Schadensersatz. Begründung:
Das Gericht wies die Forderung zurück. Der Kläger konnte nicht ausreichend darlegen, dass ihm durch die Übermittlung ein konkreter Schaden entstanden sei.
Für viele Unternehmen mag das zunächst beruhigend klingen. Allerdings enthält das Urteil einen entscheidenden Hinweis.
Das Arbeitsgericht stellte ausdrücklich fest:
„Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor.“
Damit wird deutlich:
Auch wenn kein Schadensersatz zugesprochen wird, stellt der Versand personenbezogener Daten per unverschlüsselter E-Mail grundsätzlich einen Datenschutzverstoß dar.
Das betrifft insbesondere sensible Daten im Rahmen von Betroffenenauskünften.
Betroffenenanfragen nach Art. 15 DSGVO sind keine Formalität. Neben der fristgerechten und vollständigen Beantwortung ist auch die datenschutzkonforme Übermittlung sicherzustellen.
Unverschlüsselte E-Mails genügen diesen Anforderungen regelmäßig nicht.
Da die Verschlüsselung kompletter E-Mail-Kommunikation technisch nicht immer einfach umzusetzen ist, empfehlen wir folgende Vorgehensweise:
So wird sichergestellt, dass die personenbezogenen Daten nicht unbefugt abgefangen oder eingesehen werden können.
Das Urteil des Arbeitsgerichts Suhl verdeutlicht:
Selbst wenn kein Schadensersatz zugesprochen wird, kann die Art der Datenübermittlung einen Verstoß gegen die DSGVO darstellen.
Unternehmen sollten ihre internen Prozesse zur Bearbeitung von Betroffenenanfragen daher überprüfen, insbesondere im Hinblick auf sichere Übermittlungswege.
