Unser Datenschutz-Update im August 2025

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den August 2025.

1. Nachrichten aus der Welt des Datenschutzes

DSA-Leitlinien zum Jugendschutz: Was KMU jetzt beachten sollten

Im Juli 2025 hat die EU-Kommission Leitlinien nach Art. 28 Abs. 4 DSA veröffentlicht. Ziel: Minderjährige auf Online-Plattformen besser schützen – mit mehr Privatsphäre, Kontrolle und Sicherheit. Die Leitlinien helfen Anbieter:innen, ihre Pflichten aus Art. 28 Abs. 1 DSA umzusetzen.

Was ändert sich konkret?

• Standard: private Konten für Minderjährige, um ungewollte Kontakte zu erschweren.
• Empfehlungssysteme anpassen, damit Kinder nicht in schädliche „Kaninchenlöcher“ geraten.
• Mehr Inhaltskontrolle (z. B. Like/Dislike) für Minderjährige.
• Blockieren & Stummschalten müssen leicht zugänglich sein.
• Kein Hinzufügen zu Gruppen ohne Zustimmung der Minderjährigen.
• Downloads & Screenshots von Inhalten Minderjähriger verbieten, um Missbrauch vorzubeugen.
• Suchtfördernde Funktionen standardmäßig deaktivieren.

Was bedeutet das für KMU?

Wenn Ihr Produkt (Shop mit Community, App, Forum, Plattform) von Minderjährigen genutzt werden kann, sollten Sie jetzt handeln:

Schnell-Checkliste

Standard-Privatsphäre umsetzen: Minderjährigen-Konten automatisch auf „privat“ stellen.

• Angemessene Filter gegen riskante Inhalte aktivieren; Kinder aus sensiblen Profiling-Prozessen herausnehmen.
• Verwendbare Sicherheitsfeatures sichtbar machen: Blockieren, Stummschalten, Melden – prominent, barrierearm, in einfacher Sprache.
• Gruppenbeitritt nur mit Opt-in: Kein auto-Add dritter Personen, klare Einwilligungsoberflächen, so dass Kinder nicht einfach hinzugefügt werden können.
• Downloads/Screenshots von Fotos unterbinden: entsprechende Funktionen deaktivieren, API-Wege schließen, Missbrauchserkennung vorsehen.
• Engagement-Prozesse eindämmen: Autoplay, Endlos-Scroll & Push-Anreize für Minderjährige per Default aus.
• Dokumentation & Policies: AGB/Datenschutz aktualisieren, Design-Entscheidungen und Risikobewertungen festhalten, Mitarbeiter:innen schulen.

Rechtliche Basis

Die DSA-Leitlinien stützen sich auf Art. 28 Abs. 4 DSA und sollen Anbieter:innen helfen, die Schutzpflichten aus Art. 28 Abs. 1 DSA wirksam umzusetzen.

Mehr dazu finden Sie hier: https://www.kinderrechte.digital/hintergrund/detail/guidelines-pursuant-to-article-284-of-regulation-eu-2022-2065-dsa

Auskunftsverlangen nach DSGVO: Was zu tun ist

Betroffene (Kund:innen, Nutzer:innen, Mitarbeitende) können nach Art. 15 DSGVO Auskunft über ihre personenbezogenen Daten verlangen – inklusive einer Kopie der Daten. 

Die Antwort muss ohne unangemessene Verzögerung, spätestens innerhalb eines Monats erteilt werden. Bei komplexen oder zahlreichen Anfragen kann die Frist einmalig um bis zu zwei Monate verlängert werden (die Begründung ist binnen eines Monats mitzuteilen).

Wichtig ist, dass nicht überstürzt gehandelt wird, jedoch zügig, sobald der Anspruch geprüft und als rechtmäßig eingeordnet wurde.

Kurz-Work–Flow

• Eingang dokumentieren & Frist setzen. 
• Identität prüfen. Bei begründeten Zweifeln zusätzliche Infos anfordern (datensparsam).
• Wenn der Anspruch begründet ist, Stichtag + evtl. Verlängerungsgrund vormerken.
• Betroffene:n informieren, dass der Anspruch bearbeitet wird.
• Datenquellen bündeln. CRM, Shop, Support, Newsletter, HR, Cloud-Backups, Auftragsverarbeiter:in (DPAs prüfen).
• Dritte schützen. Daten Dritter und Geschäftsgeheimnisse/IP in E-Mail-Inhalten zum Beispiel ggf. schwärzen . Dies kann einen erheblichen Aufwand darstellen und zur Begründung einer Verlängerung der Frist herangezogen werden. 
• Antwort erstellen & sicher übermitteln. Auf Wunsch in gängigem elektronischem Format; eine Kopie ist kostenfrei.
• Archivieren: Anfrage, Prüfung, Antwort und Fristmanagement nachvollziehbar dokumentieren.

Welche Fristen & Kosten gelten?

Frist: Einen Monat ab Eingang, Verlängerung um max. zwei Monate möglich (mit Begründung binnen einen Monats).

Kosten: Grundsätzlich kostenfrei. Nur bei offensichtlich unbegründeten oder exzessiven Anfragen: angemessene Gebühr oder Ablehnung (Nachweispflicht beim Unternehmen).

Was muss die Auskunft enthalten?

Die Auskunft sollte eine Bestätigung der Verarbeitung erhalten, die detaillierte Aufstellung aller gespeicherten Daten und eine Kopie der personenbezogenen Daten.

Zwecke, Kategorien der Daten, Empfänger:innen/Empfänger:innenkategorien (inkl. Drittländer + geeignete Garantien).

Speicherdauer bzw. Kriterien, Rechte (Berichtigung, Löschung, Einschränkung, Widerspruch), Beschwerderecht bei der Aufsicht.

Datenquelle (falls nicht bei der betroffenen Person erhoben).

Automatisierte Entscheidungen/Profiling mit verständlichen Informationen zur Logik und den Folgen.

Achtung

Es müssen die gespeicherten Daten konkret benannt werden, d.h. der Name ist auszuschreiben, ein Gehalt ist in der konkreten Summe zu nennen, eine Sozialversicherungsnummer ist konkret aufzuführen, ebenso Kund:innennummern oder Kontat-Emailadresse. Die/der Betroffene muss in der Lage sein, anhand der Auskunft ein Recht auf Berichtigung oder andere Betroffenenrechte geltend zu machen. Auch dritte Empfänger:innen wie Dienstleister:innen müssen namentlich mit Anschrift genannt werden. 

Fazit 

Eine Auskunftserteilung kann sehr umfangreich sein. Eine gute Kommunikation mit der Antragstellerin oder dem Antragsteller ist wichtig. Bei detaillierter Auskunft ist teilweise eine Bereitschaft des Betroffenen da, auf Kopien zu verzichten (je nach Relevanz der Daten). Ein solches Übereinkommen muss immer schriftlich dokumentiert werden. 

Einen ausführlichen Beitrag zum Auskunftsersuchen und die daraus folgenden Pflichten für den Verantwortlichen veröffentlichen wir in Kürze auf unserem Blog.

2. Entscheidungen des Monats

BEM: Vorabinformationen sorgfältig beachten

Beim betrieblichen Eingliederungsmanagement (BEM) müssen Arbeitgeber:innen sorgfältig vorgehen – auch, wenn ein:e externe:r Dienstleister:in eingebunden ist. Ein aktuelles LAG-Urteil (LAG Baden-Würtemberg Az: 15 Sa 22/24) fasst zentrale Pflichten zusammen.

Bevor ein betriebliches Eingliederungsmanagement (BEM) startet, müssen Arbeitgeber:innen die betroffene Person klar und verständlich darüber informieren,

• welche Daten erhoben werden (insb. Gesundheitsdaten),
• wo diese Daten gespeichert werden,
• wer wofür darauf zugreifen darf und
• dass nur erforderliche Daten verarbeitet werden.

Ohne diese Unterrichtung liegt kein ordnungsgemäßer BEM-Versuch vor (§ 167 Abs. 2 S. 4 SGB IX; Anschluss an BAG 2 AZR 755/13). Nach Meinung des LAG Baden-Würtemberg reicht ein allgemeiner Datenschutzhinweis nicht – es braucht konkrete Zwecke und Datenarten.

Was muss konkret in die Information?

• Zweck(e): z. B. „Prüfung von Maßnahmen zur Reduktion künftiger Fehlzeiten, Anpassung des Arbeitsplatzes, Klärung Reha-Hilfen“.
• Datenarten (Beispiele): Diagnosekategorien/Belastungsprofile, arbeitsplatzbezogene Einschränkungen, erforderliche Maßnahmen; keine pauschalen Vollabfragen.
• Empfänger:innenkreis/Team: wer nimmt am BEM teil (z. B. Betriebsärzt:innen, Führungskraft, BR) und auf welcher Rechtsgrundlage erhalten diese Personen Einsicht?
• Speicherung & Aufbewahrung: getrennte BEM-Akte vs. Personalakte; welche Unterlagen wohin; Speicherdauer.
• Freiwilligkeit & Widerruf: Teilnahme freiwillig; Einwilligungen spezifisch, jederzeit widerrufbar.
• „Nur erforderliche Daten“: ausdrücklicher Hinweis auf Datenminimierung.

Praxis-Tipp: 

Nutzen Sie ein standardisiertes Info-/Einladungsblatt mit Checkboxen (Zwecke, Datenarten, Empfängerkreis) und lassen Sie den Erhalt quittieren.

Häufige Fehler 

Zu vage Formulierungen („weitere Daten“)

Stattdessen: konkretisieren „arbeitsplatzbezogene Funktionsfähigkeit (z. B. Heben/Tragen), ärztliche Bescheinigungen nur, soweit für Maßnahmen zwingend nötig“.

Vermischung von Info- und BEM-Gespräch

Stattdessen: im Informations-Gespräch keine Gesundheitsabfragen; erst nach Einwilligung im eigentlichen BEM.

Unklarer Zugriff

Stattdessen: namentlich benennen, wer Einsicht hat; Zugriffsprotokoll führen.

Alles in die Personalakte

Stattdessen: nur Ergebnis ins Personalaktensystem; Detailunterlagen exklusiv in die BEM-Akte.

Folgen bei fehlender oder unklarer Information

Ablehnung zählt nicht gegen den/die Beschäftigte/n: Lehnt jemand nach unzureichender Aufklärung ab, kann das dem Unternehmen nicht als „fehlende Mitwirkung“ entgegengehalten werden.

Kausalitätsvermutung geht zu Lasten der Arbeitgeber:innen: Das Gericht unterstellte, dass die mangelhafte Aufklärung zur Nichtdurchführung beigetragen hat – das Unternehmen muss das Gegenteil substantiiert beweisen.

Erhöhte Darlegungslast im Kündigungsschutzprozess: Arbeitgeber:innen müssen dann darlegen, dass ein ordnungsgemäßes BEM objektiv nutzlos gewesen wäre (sehr hohe Hürde).

Risiko unwirksamer Kündigung wegen Unverhältnismäßigkeit: Ohne korrekt eingeleitetes BEM scheitern krankheitsbedingte Kündigungen häufig.

Achtung

Outsourcing schützt nicht: Fehler externer Dienstleister:innen werden Arbeitgeber:innen zugerechnet – denn die Steuerung und Kontrolle bleiben Pflicht der/des Verantwortlichen (Arbeitgeber:in).

Fazit

Ohne klare, vorab erteilte Information zu Zwecken, Datenarten, Speicherung und Zugriffen ist ein BEM rechtlich angreifbar – und im Kündigungsschutz ein echter Boomerang. Standardisieren Sie Ihre Unterlagen, trennen Sie Info- und BEM-Gespräch strikt und steuern Sie Dienstleister:innen aktiv. So sichern Sie Compliance, Vertrauen und bessere Chancen auf erfolgreiche Wiedereingliederung.

3. Das schreiben die Anderen zum Datenschutz

• Die Klassifizierung von ChatGPT nach der KI-Verordnung
• Follow-me-Druckprinzip: Mehr Sicherheit für den Datenschutz

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt 

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter

Externer Datenschutzbeauftragter