Unser Datenschutz-Update im Juli 2025

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Juli 2025.

1. Nachrichten aus der Welt des Datenschutzes

Vorsicht bei Cyber-Versicherungen

Warum falsche Angaben teuer werden können – und wie Kleine und mittlere Unternehmen (KMU) sich mit aktuellen TOMs und regelmäßigen IT-Audits schützen.

1. Das Urteil in Kürze

Das Landgericht Kiel entschied am 20. August 2024, (Urteil vom 23.05.2024 – 5 O 128/21) dass eine Cyber-Versicherung nach arglistiger Täuschung (§ 123 BGB) den Vertrag anfechten und Leistungen verweigern darf. Das betroffene Unternehmen hatte beim Antrag erklärt, alle Rechner seien mit aktuellem Virenschutz und zeitnahen Sicherheitsupdates versehen – tatsächlich waren mehrere Systeme veraltet und ungeschützt. Nach einem Hack auf den nicht gepatchten Windows-2008-Server blieb das Unternehmen auf seinem Schaden sitzen.

Kernbotschaft des Gerichts:
Wer beim Versicherungsabschluss falsche Angaben zur IT-Sicherheit macht, riskiert den vollständigen Verlust des Versicherungsschutzes.

2. Warum trifft das besonders KMU?

1. Begrenzte IT-Ressourcen
   KMU haben häufig kein eigenes Security-Team. Prozesse für Updates, Patch-Management und Virenschutz sind daher anfälliger für Lücken.
2. Standardisierte Antragsfragen
   Versicherungen fragen nach konkreten technischen und organisatorischen Maßnahmen (TOMs). Eine ungenaue oder „optimistische“ Antwort mag verlockend erscheinen, führt aber geradewegs ins Haftungs-Desaster.
3. Schadenhöhe vs. Prämie
   Während die Versicherungsprämie überschaubar wirkt, können Betriebsunterbrechungen, Datenrekonstruktion und Reputationsschäden schnell existenzbedrohend werden – besonders, wenn die Police nachträglich unwirksam ist.

3. Die juristische Dimension

• Arglistige Täuschung (§ 123 BGB)
  Bereits fahrlässig falsche Angaben „ins Blaue hinein“ genügen, wenn die Versicherung nachweisen kann, dass sie für den Vertragsabschluss kausal waren.
• Obliegenheitsverletzung (§ 28 VVG)
  Auch ohne Arglist kann grob fahrlässige Falschauskunft zu Leistungsfreiheit führen.
• Beweislast
  Im Streitfall muss das Unternehmen darlegen, dass es trotz Falschangabe keinen Zusammenhang zwischen Pflichtverletzung und Schaden gibt – praktisch kaum zu schaffen.

4. Aktuelle TOMs: Pflicht oder Kür?

Technische und organisatorische Maßnahmen sind nicht nur DSGVO-Pflicht, sondern Risikofaktor Nr. 1 bei Cyber-Versicherungen. Typische Schwachstellen:

TOM	Typische Lücke	Folge
Patch-Management	End-of-Life-Systeme (z. B. Windows 2008)	Einfallstor für Ransomware
Virenschutz	Deaktivierte oder veraltete Signaturen	Erhöhte Malware-Inzidenz
Backup-Strategie	Keine Offline-Backups	Datenverlust, Lösegeldforderungen
Zugangskontrolle	Gemeinsame Admin-Accounts	Haftungs- und Compliance-Risiken

---

5. Sorgfältiges IT-Sicherheits-Audit: Ihr Rettungsanker

1. Ist-Analyse
   Erfassung sämtlicher Systeme, Versionen und Schutzmechanismen.
2. Risikobewertung
   Welche Schwachstellen gefährden Geschäftsprozesse und Kundendaten?
3. Maßnahmenplan
   Priorisierte To-dos: Patches, Segmentierung, Multi-Factor-Authentifizierung, Backup-Härtung.
4. Dokumentation & Nachweisführung
   Prüfprotokolle, Change-Logs und Policies sind Gold wert – nicht nur gegenüber der Aufsichtsbehörde, sondern auch bei der nächsten Versicherungs-Risikoprüfung.
5. Turnusmäßige Wiederholung
   Mindestens jährlich oder bei größeren Systemänderungen – so bleiben Aussagen gegenüber Versicherungen stets aktuell.

6. Praxis-Tipps für den Versicherungsantrag

• Fragen wörtlich nehmen: Keine Schätzungen oder „wir wollen demnächst“.
• Nachweise bereithalten: Patch-Reports, Virenschutz-Lizenzen, Audit-Protokolle.
• Verantwortlichkeiten klären: Geschäftsführung bleibt haftbar – nicht externe IT-Dienstleister:innen.
• Beraten lassen: Ein:e externe:r Datenschutz- und IT-Security-Berater:in hilft, realistische Antworten zu geben und Lücken vorab zu schließen.

7. Fazit

Für KMU sind Cyber-Policen ein wichtiger Baustein des Risikomanagements. Doch der beste Vertrag nützt nichts, wenn er im Ernstfall wegen falscher Angaben geplatzt ist. Regelmäßige Audits und konsequent gepflegte TOMs sind daher nicht nur Datenschutz-Pflicht, sondern auch Versicherung für Ihre Versicherung.

Mehr erfahren: schleswig-holstein.de – Landgericht Kiel – Urteil: Falsche…

DSGVO vereinfacht? Was der neue EU‑Vorschlag KMU bringt

Am 9. Juli 2025 haben der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) eine gemeinsame Stellungnahme zu einem Entwurf der EU‑Kommission veröffentlicht, der kleinen und mittleren Unternehmen (KMU) spürbare Erleichterungen verschaffen soll.

1. Worum geht es?

Bislang müssen Betriebe ab 250 Beschäftigten ein detailliertes Verzeichnis aller Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Die Kommission möchte diese Schwelle auf 750 Beschäftigte anheben – vorausgesetzt, das Unternehmen verarbeitet keine Daten mit hohem Risiko für die Rechte und Freiheiten der Betroffenen.

2. Was sagen EDSA und EDSB?

Die Stellungnahme zielt auf Bürokratieabbau: Weniger Papierkrieg für KMU – solange das Schutzniveau erhalten bleibt.
Keine Abstriche am Kern der DSGVO: Alle übrigen Pflichten (z. B. Rechtmäßigkeit, Transparenz, Datenschutz‑Folgenabschätzung) bleiben unverändert.
Offene Fragen bleiben:

• Behörden & öffentliche Stellen: Unklar, ob und wie die Lockerung hier gilt.

„Hohes Risiko“ präzisieren: Es fehlen klare Kriterien, wann eine Verarbeitung als risikoreich einzustufen ist.

3. Was sagen EDSA und EDSB?

Aktuell gilt: Wer mehr als 250 Mitarbeitende beschäftigt, muss ein Verzeichnis der Verarbeitungstätigkeiten führen. Nach dem Vorschlag müssten solche Aufzeichnungen künftig erst dann erstellt werden, wenn ein Unternehmen mehr als 750 Beschäftigte zählt. Für Firmen zwischen 251 und 750 Mitarbeitenden entfiele die Dokumentationspflicht also vollständig – es sei denn, sie verarbeiten Daten, die ein hohes Risiko für die Betroffenen darstellen (etwa Gesundheitsdaten, groß angelegtes Tracking oder Profiling). Für diese sensiblen Verarbeitungen bliebe die Pflicht unverändert bestehen.

Wachsende KMU, die trotz steigender Mitarbeiterzahl keine Hoch‑Risikodaten verarbeiten, könnten künftig auf das Verzeichnis verzichten und so Zeit sowie Ressourcen sparen.

4. Praxis‑Tipps für KMU

• Risikoanalyse durchführenPrüfen Sie, ob Ihre Prozesse als „hohes Risiko“ gelten könnten (z. B. neue Technologien, Profiling, große Datenmengen).
• Verzeichnis up‑to‑date halten
  Bis zur endgültigen Verabschiedung gilt weiterhin die 250er‑Grenze – halten Sie Ihre Dokumentation vollständig.
• DSGVO‑Grundprinzipien leben
  Auch ohne Verzeichnis‑Zwang bleiben Rechenschaftspflicht, Transparenz und Datensicherheit unverrückbar.
• Änderungen beobachten
  Die finale Ausgestaltung, insbesondere die Risiko‑Definition, kann den Geltungsbereich noch verschieben.

5. Fazit

Der Vorschlag ist ein erfreuliches Signal: Datenschutz ja – aber praxisnah für KMU. Die endgültige Entscheidung liegt nun beim Europäischen Parlament und dem Rat. Wer frühzeitig seine Prozesse prüft und dokumentiert, ist für jede Variante gewappnet.

E-Mail-Sicherheit 2025: Empfehlungen des BSI 

Phishing‑Mails, CEO‑Frauds und Datenlecks: Kein Tag vergeht, ohne dass Angreifer:innen es auf Geschäftspostfächer abgesehen haben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb klare Empfehlungen veröffentlicht. Hier ein Überblick:

1. Identitäten absichern – damit niemand in Ihrem Namen schreibt
   SPF legt fest, welche Mail‑Server autorisiert sind, Ihre Domain zu verwenden.
   DKIM versieht jedes Schreiben mit einer fälschungssicheren Signatur.
   DMARC definiert, was passieren soll, wenn eine Nachricht die SPF/DKIM‑Prüfung nicht besteht.
   Nutzen: Gefälschte Absender:innenadressen verlieren ihre Wirkung; Kund:innen und Partner:innen können echten von falschem Schriftverkehr unterscheiden.
2. Transport schützen – damit niemand mitliest
   DNSSEC sichert das „Telefonbuch des Internets“ gegen Manipulation.
   DANE verankert im DNS, welches Zertifikat Ihr Mailserver verwendet – falsche Zertifikate haben keine Chance.
   MTA‑STS greift dort, wo DANE nicht möglich ist, und erzwingt verschlüsselte Leitungen zwischen Mailservern.
   Nutzen: Daten bleiben vertraulich – ob Vertragsdetails oder vertrauliche Angebote.
3. Häufige Stolperfallen – und wie Sie sie umgehen
   Doppelte oder verwaiste DNS‑Einträge – halten Sie Ihr Zonenfile schlank.
   Tippfehler – ein fehlendes Semikolon genügt, und der Schutz greift nicht.
   „Einmal eingerichtet, nie wieder angesehen“ – prüfen Sie Ihre Einstellungen mindestens halbjährlich.
4. Cloud‑Realität: Microsoft versus Google
   Microsoft 365: DANE erfordert DNSSEC – klären Sie vorab, ob Ihr Domain‑Hoster das unterstützt.
   Google Workspace: setzt auf MTA‑STS; DNSSEC bleibt freiwillig, erhöht aber die Sicherheit.
5. Fünf‑Punkte‑Plan für KMU
   Bestandsaufnahme – SPF, DKIM und DMARC prüfen – Online‑Checker:innen helfen.
   DNSSEC aktivieren – sofern Ihr:e Provider:in es anbietet.
   DANE oder MTA‑STS einrichten – je nach Mailplattform.
   IT‑Dienstleister:innen einbinden – gerade Mischumgebungen (On‑Prem + Cloud) sind komplex.
   Sensibilisierung: Technik erledigt nur die halbe Arbeit – schulen Sie Mitarbeitende, verdächtige Mails zu melden.

Fazit

Weniger Risiko, mehr Vertrauen- Wer die BSI‑Empfehlungen umsetzt, senkt nicht nur das Angriffspotenzial drastisch, sondern zeigt auch Geschäftspartner:innen: Hier wird Sicherheit ernst genommen. Starten Sie heute – bevor es ein:e Angreifer:in morgen für Sie tut.

Erinnerung zur Online-Streitbeilegung – Impressum aktualisieren

Die EU‑Plattform für Online‑Streitbeilegung (ec.europa.eu/consumers/odr) wird gemäß Art. 1 Verordnung (EU) 2024/3228 zum 20. Juli 2025 endgültig abgeschaltet; gleichzeitig wird Verordnung (EU) 524/2013 (Art. 14) aufgehoben.

Konsequenz für Unternehmen: 

Entfernen Sie jeden Verweis auf diese Plattform (Link und Hinweistext), zum Beispiel aus Impressum, AGB u. ä. Andernfalls drohen Abmahnungen wegen irreführender Angaben.

Achtung: Unternehmen, die nicht an einem Schlichtungsverfahren teilnehmen, müssen darauf gemäß § 36 VSBG hinweisen (Beispiel: Wir sind nicht verpflichtet an außergerichtlicher Streitbelegung teilzunehmen.)

2. Entscheidungen des Monats

OLG Urteil zu Datenminimierung 

Am 10. Juli 2025 hat das Oberlandesgericht Frankfurt a. M. (Az. 6 UKl 14/24) entschieden: Die Deutsche Bahn darf „Spar‑“ und „Super‑Sparpreis“-Tickets nicht länger vom Zwang zur Angabe einer E‑Mail‑Adresse oder Handynummer abhängig machen. Diese Daten seien für den reinen Beförderungsvertrag nicht erforderlich – und ihre verpflichtende Abfrage verstößt gegen die Datenschutz‑Grundverordnung (DSGVO).

Was steckt dahinter?

Die Richter:innen betonten, dass Verbraucherinnen und Verbraucher lediglich eine Fahrt von A nach B kaufen; digitale Zustellwege oder Marketingzwecke rechtfertigen keine zusätzliche Datenerhebung. Bloße Bequemlichkeit oder Effizienz genügen nicht: Unternehmen müssen den Prozess wählen, der mit dem geringsten Maß an personenbezogenen Daten auskommt.

Was das für Unternehmen bedeutet

• Artikel  5 Abs. 1 c DSGVO sollte bei jedem Verfahren ernst genommen werden. „Datenminimierung“ heißt: nur das erheben, was zwingend notwendig ist.
• Vertragsgegenstand prüfen. Fragen Sie sich für jedes Formular: Brauchen wir diese Information wirklich, um unsere Leistung zu erbringen?
• Optionale Felder klar kennzeichnen. Wenn Kontaktdaten nur Service‑Add‑ons erleichtern, dürfen sie nicht verpflichtend sein.
• Alternativen anbieten. Digitale Prozesse dürfen nicht die einzige Bezugsquelle sein, wenn sie mehr Daten verlangen als analoge Wege.
• Dokumentieren & begründen. Halten Sie intern fest, warum jede einzelne Datenkategorie nötig ist; das schützt bei Behörden‑ oder Kund:innenanfragen.

Fazit

Das Urteil erinnert eindrucksvoll daran: Datenminimierung ist kein Nice‑to‑have, sondern ein Kernprinzip der DSGVO. Wer konsequent nur zwingend erforderliche Informationen erhebt, spart nicht nur Speicherplatz und Supportaufwand, sondern minimiert Haftungs‑ und Reputationsrisiken. Prüfen Sie daher jedes Verfahren – vom Newsletter‑Signup bis zur Kund:innenbestellung – und streichen Sie alles, was rechtlich nicht notwendig ist. So bleibt Ihr Unternehmen schlank, vertrauenswürdig und compliant.

3. Das schreiben die Anderen zum Datenschutz

• Datenpanne durch IBAN-Betrug und wie neue Sicherheitsmechani…
• Microsoft kann US-Zugriff auf EU-Cloud nicht verhindern!

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter

Externer Datenschutzbeauftragter