Unser Datenschutz-Update im März 2025

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den März 2025.

1. Nachrichten aus der Welt des Datenschutzes

Datenübermittlung in die USA: Warum sich trotz EU-US DPF wenig geändert hat

Mit dem EU-US Data Privacy Framework (DPF) 2023 wollte die EU-Kommission eine neue Grundlage für den transatlantischen Datentransfer schaffen. Doch in der Praxis zeigt sich:
Seit Beginn der neuen Regierungsphase in den USA bleibt die Lage für Unternehmen derzeit so unsicher wie vor dem DPF.

Was ist das Problem?

Zwar dürfen US-Unternehmen, die nach dem DPF zertifiziert sind, personenbezogene Daten aus der EU empfangen – aber:

Der US CLOUD Act (2018) erlaubt US-Behörden Zugriff auf Daten von US-Unternehmen – auch wenn die Daten in der EU gespeichert sind.
Die zentrale Grundlage des DPF, die Executive Order 14086, ist aktuell politisch ins Wanken geraten: Die demokratischen Mitglieder des für die Aufsicht zuständige Gremium (PCLOB) wurden vom Weißen Haus aufgefordert, ihre Mitgliedschaft niederzulegen. Deutlicher gesagt, sie wurden entlassen. Damit ist das Gremium zum jetzigen Zeitpunkt nicht arbeitsfähig.
Die EU-Kommission muss laut DSGVO (Art. 45 Abs. 4) regelmäßig prüfen, ob das Datenschutzniveau in den USA noch als angemessen gilt – und steht hier nun vor einer schwierigen Neubewertung.

Faktisch bedeutet das: Die rechtliche Stabilität des DPF ist bereits jetzt stark geschwächt – und könnte bei der nächsten gerichtlichen Prüfung (Stichwort: Schrems III) erneut kippen.

Was bedeutet das nun künftig für Unternehmen, die in Dienstleister in den USA einsetzen wollen?

Trotz neuem Rahmenwerk gilt weiterhin:

• Standardvertragsklauseln (SCCs) bleiben notwendig, wenn Dienstleister:innen nicht DPF-zertifiziert sind oder Zweifel an deren Schutz bestehen.
• Unternehmen müssen nach wie vor eine Transfer Impact Assessment (TIA) durchführen.
  Zusätzliche Schutzmaßnahmen (z. B. Verschlüsselung, Pseudonymisierung) sind weiterhin empfehlenswert.
• Ist ein Unternehmen DPF-zertifiziert, sollte in der aktuellen Lage trotzdem darauf geachtet werden, dass zusätzlich die SCCs vereinbart werden.

Unser Tipp für den Einsatz – US-Dienstlesiter:innen prüfen:

• Welche der Dienstleister sind nach DPF zertifiziert?
• DPF nicht blind vertrauen: Auch bei DPF-Zertifizierten ist die rechtliche Zukunft ungewiss – Sicherheits- und Transparenzanforderungen sollten dokumentiert geprüft werden.
  SCCs + TIA weiterhin umsetzen:
• Für nicht zertifizierte Dienstleister:innen oder besonders risikobehaftete Daten bleibt dies unverzichtbar. Für DPF zertifizierte sollten zumindest die SCCs weiterhin vereinbart werden.
• Alternativen evaluieren: Bei neuen Projekten oder Dienstleister:innen-Wechseln sollten auch Anbieter:innen aus der EU oder sicheren Drittstaaten (z. B. Schweiz, Japan, Kanada) geprüft werden.
• Rechtliche Entwicklungen beobachten: Die nächste Bewertung durch die EU-Kommission ist entscheidend – ein möglicher Widerruf des Angemessenheitsbeschlusses steht im Raum.

Mehr dazu hier: https://www.reuters.com/world/us/white-house-asks-democratic-members-federal-privacy-oversight-board-quit-2025-01-23/

Datenschutz im Unternehmen: Eigenverantwortung bei Mitarbeiter:innenexzess

Unternehmen kennen ihre Pflicht als Arbeitgeber:innen: Mitarbeitende sind bei Einstellung auf Einhaltung des Datenschutzes zu verpflichten. Doch was geschieht, wenn Mitarbeitende nicht nur ihre festgelegten Pflichten zum Umgang mit personenbezogenen Daten verletzen, sondern darüber hinaus „auf eigene Faust“ personenbezogene Daten erheben oder auf sie Zugriff nehmen und für eigene Zwecke verarbeiten? Haften Arbeitgeber:innen für das Verhalten ihrer Mitarbeitenden? Oder haftet eventuell sogar der oder die Mitarbeitende in diesem Fall selbst?

Wann haftet das Unternehmen – und wann die oder der einzelne Mitarbeitende?

Zu diesem Thema erfolgte aktuell ein Beschluss vom 25. Februar 2025 (Az. 2 ORbs 16 Ss 336/24) des Oberlandesgericht Stuttgart (OLG). Dieser Beschluss trifft wichtige Aussagen zum Datenschutz im Arbeitsverhältnis:

Beschäftigte können eigenständig datenschutzrechtlich verantwortlich sein, wenn sie personenbezogene Daten für private oder nicht dienstlich veranlasste Zwecke verarbeiten.

Zum Sachverhalt:
Ein Polizeibeamter hatte ohne dienstlichen Anlass im polizeilichen Auskunftssystem „POLAS“ Daten über einen ehemaligen Kollegen abgerufen. Das Amtsgericht Stuttgart verhängte dafür ein Bußgeld von 1.500 Euro – nicht gegen die Behörde, sondern gegen den Beamten selbst.

Das OLG Stuttgart bestätigte diese Entscheidung und stellte klar:

Wer Daten außerhalb seiner dienstlichen Aufgaben abruft, handelt eigenverantwortlich nach Art. 4 Nr. 7 DSGVO – unabhängig von der/vom Arbeitgeber:in.

Was ist ein Mitarbeiter:innenexzess im Datenschutz?
Der Begriff Mitarbeiter:innenexzess beschreibt den Fall, dass Mitarbeitende persönliche oder private Zwecke verfolgen, wenn sie auf personenbezogene Daten zugreifen – also nicht im Rahmen ihrer arbeitsvertraglichen Aufgaben handeln.

Laut OLG Stuttgart (unter Berufung auf den Europäischen Datenschutzausschuss) bedeutet das:

1. Der/die Mitarbeitende trifft eigene Entscheidungen über die Zwecke und Mittel der Datenverarbeitung.
2. Die Handlung erfolgt nicht nur weisungswidrig, sondern völlig außerhalb der dienstlichen Sphäre.

Daraus ergibt sich eine eigene Verantwortlichkeit nach der DSGVO – mit entsprechenden Konsequenzen.

Fazit

Der Beschluss des OLG Stuttgart zeigt deutlich: Datenschutz ist nicht nur Unternehmenssache – auch einzelne Mitarbeitende können zur Verantwortung gezogen werden. Gleichzeitig schützt sich ein Unternehmen nur dann vor Mitverantwortung, wenn es technische, organisatorische und vertragliche Maßnahmen nachweisbar umgesetzt hat.

Was bedeutet das für Unternehmen und Behörden?

Wenn Mitarbeitende auf eigene Faust Daten missbrauchen, kann das Unternehmen unter bestimmten Voraussetzungen von der Haftung befreit sein.

Dies gilt aber nur, wenn:

• ein wirksames Datenschutzkonzept vorliegt, mit klaren Weisungen, regelmäßigen Schulungen und
• technischen Schutzmaßnahmen (z. B. Protokollierung, Zugriffsbeschränkungen, Rollenrechte).

Fehlt diese Sorgfalt, haftet das Unternehmen mit – auch für Exzesse einzelner Mitarbeitender.

Unser Tipp:

So schützen Sie Ihr Unternehmen vor Mitarbeiter:innenexzessen:

• Verhaltensrichtlinien zum Datenschutz schriftlich fixieren – inklusive klarer Sanktionen.
• Rollen- und Rechtekonzepte einführen – Zugriff nur für den jeweiligen Aufgabenbereich.
• Technische Schutzmaßnahmen nutzen – Logging, 4-Augen-Prinzip, Zugriffskontrollen.
• Datenschutzschulungen regelmäßig durchführen – praxisnah, dokumentiert, verpflichtend.
• Verdachtsfälle konsequent prüfen – und Verstöße sanktionieren.

2. Entscheidungen des Monats

Irreführung durch automatisierte Antwort-E-Mail im Impressum

Das Landgericht München I hat mit Urteil vom 25.02.2025 (Az. 33 O 3721/24) entschieden, dass automatisierte Antwortmails auf E-Mail-Anfragen an die im Impressum angegebene Adresse gegen das Gesetz gegen unlauteren Wettbewerb (§ 5a UWG) verstoßen können. Geklagt hatte die Wettbewerbszentrale gegen einen bekannten Anbieter von Internetdiensten, der auf Anfragen lediglich mit einer automatisierten Antwort-E-Mail reagierte mit dem Hinweis, eine Kommunikation sei über diese Adresse nicht möglich und einem Verweis auf alternative Kontaktwege (z. B. ein Formular).

Die Entscheidung ist noch nicht rechtskräftig.

Kernaussage des Gerichts:

Eine im Impressum genannte E-Mail-Adresse muss eine unmittelbare und funktionierende Kommunikation ermöglichen – so schreibt es § 5 DDG in Umsetzung der E-Commerce-Richtlinie vor. Der automatische Verweis auf andere Kanäle ersetzt keine echte Erreichbarkeit per E-Mail.

Was das für Unternehmen bedeutet:

Die im Impressum angegebene E-Mail-Adresse muss erreichbar sein – automatisierte Antworten, die auf andere Kanäle verweisen, genügen nicht.
Eine funktionierende E-Mail-Kommunikation bleibt auch 2025 gesetzlich vorgeschrieben und ist essentiell, um z. B. rechtliche Hinweise schnell entgegennehmen zu können.
Händler:innen riskieren Abmahnungen und rechtliche Konsequenzen, wenn die gesetzlich geforderte Erreichbarkeit nicht sichergestellt ist.

Unser Tipp:

Prüfen Sie Ihre Impressumsangaben und die dahinterliegenden Kommunikationsprozesse. Automatisierte Antworten dürfen nicht eine Hürde darstellen – echte E-Mail-Erreichbarkeit ist Pflicht!

OVG NRW: Kein Anspruch auf Ende-zu-Ende-Verschlüsselung 

Das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW) hat mit Urteil vom 20. Februar 2025 (Az. 16 B 288/23) ein wichtiges Signal für alle datenschutzverantwortlichen Stellen gesetzt: Betroffene können nicht verlangen, dass ihre personenbezogenen Daten ausschließlich mittels Ende-zu-Ende-Verschlüsselung übermittelt werden.

Der Fall im Überblick:

Ein Antragsteller wollte, dass eine öffentliche Stelle seine personenbezogenen Daten ausschließlich per Ende-zu-Ende-Verschlüsselung oder einer vergleichbaren Technik versendet. Die Vorinstanz – das Verwaltungsgericht Köln – wies das ab, und das OVG NRW bestätigte nun diese Entscheidung.

Das Gericht stellte klar:

Art. 18 Abs. 1 DSGVO (Recht auf Einschränkung der Verarbeitung) und
Art. 32 Abs. 1 DSGVO (Sicherheit der Verarbeitung) begründen keinen individuellen Anspruch auf eine bestimmte Verschlüsselungstechnik.

Warum das relevant ist:

Die Behörde hatte bereits angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten implementiert. Ein besonderes Risiko, das eine stärkere Verschlüsselung wie E2EE nötig gemacht hätte, konnte der Antragsteller nicht nachweisen.

Was heißt das für Unternehmen?

Datenschutz ja – aber mit Augenmaß: Es besteht keine Pflicht, Ende-zu-Ende-Verschlüsselung einzusetzen, solange die Sicherheitsmaßnahmen dem Stand der Technik entsprechen und verhältnismäßig sind.
Pflicht bleibt: Verantwortliche müssen technisch-organisatorische Maßnahmen (TOMs) implementieren, die den Schutz personenbezogener Daten gewährleisten – aber eben nicht zwingend auf dem höchsten Level wie E2EE.
Einzelfallbewertung ist entscheidend: Höhere Schutzmaßnahmen sind nur dann nötig, wenn konkrete Risiken bestehen (z. B. bei besonders sensiblen Daten oder bekannten Bedrohungen).

Unser Tipp:

Überprüfen Sie regelmäßig Ihre TOMs – insbesondere die Übertragungssicherheit. Sie müssen nicht immer „das Maximum“ leisten, sondern angemessene und risikoorientierte Maßnahmen treffen, die dem Stand der Technik entsprechen.

EuGH-Urteil: Mehr Transparenz bei automatisierten Entscheidungen – Was Unternehmen jetzt wissen müssen

Offenlegungspflichten bei automatisiertem Scoring
Mit Urteil vom 27. Mai 2025 hat der Europäische Gerichtshof (EuGH) ein deutliches Signal für mehr Transparenz bei automatisierten Entscheidungsprozessen gesetzt (z. B. Scoring-Systeme, KI-gestützte Prüfungen, automatisierte Ablehnungen).

Kernaussage des Urteils:

Unternehmen müssen Betroffenen präzise und verständlich erklären, wie automatisierte Entscheidungen zustande kommen. Das gilt auch dann, wenn dabei Geschäftsgeheimnisse berührt werden.

Zum Hintergrund: KI-basierte Ablehnung eines Mobilfunkvertrags

Eine Verbraucherin wurde von einem Mobilfunkanbieter abgelehnt – auf Basis eines KI-gestützten Bonitätsscorings. Die Auskunftei verweigerte auf Anfrage eine genaue Auskunft zur Scoring-Logik mit dem Verweis auf Geschäftsgeheimnisse.

Die österreichische Datenschutzbehörde sah das anders und verpflichtete zur Offenlegung. Der Streit ging bis vor den EuGH – mit einem wegweisenden Ergebnis.

Die Entscheidung im Überblick:

Transparenzpflicht gegenüber Betroffenen

Unternehmen müssen die Grundsätze, Abläufe und eingesetzten Verfahren bei automatisierten Entscheidungen offenlegen. Diese Informationen müssen verständlich, transparent, präzise und leicht zugänglich sein. Allgemeine Floskeln oder „Blackbox“-Antworten reichen nicht mehr aus.

Offenlegung trotz Geschäftsgeheimnissen

Gegenüber Datenschutzaufsichtsbehörden und Gerichten besteht eine Offenlegungspflicht, selbst, wenn Geschäftsgeheimnisse betroffen sind. Diese Stellen prüfen dann im Einzelfall, welche Informationen relevant und gegenüber der betroffenen Person offenzulegen sind.

Fazit

Der EuGH macht deutlich: „Blackbox“-Scoring hat ausgedient. Unternehmen müssen ihre automatisierten Entscheidungen nachvollziehbar und prüfbar machen – nicht nur gegenüber Aufsichtsbehörden, sondern auch gegenüber Betroffenen.

Was bedeutet das für Unternehmen?

Automatisierte Entscheidungen sind längst Alltag – z. B. im Kreditwesen, Onlinehandel, bei Bewerbungsverfahren oder im Kund:innenservice. Wer KI, Scoring oder automatisierte Systeme einsetzt, muss nun deutlich mehr Transparenz bieten.

Unser Tipp:

Transparenz ist nicht nur Pflicht – sondern auch Vertrauen. Automatisierung spart Zeit – aber intransparente Systeme gefährden das Vertrauen Ihrer Kund:innen. Wer proaktiv erklärt, wie Entscheidungen zustande kommen, stärkt die Kund:innenbindung und reduziert rechtliche Risiken.

Dokumentieren Sie die Abläufe und Logiken automatisierter Entscheidungen. Bereiten Sie diese in klarer, verständlicher Sprache für Auskunftsersuchen auf. 

Prüfen Sie Ihre Datenschutzprozesse: Ist eine nachvollziehbare Antwort an Betroffene überhaupt möglich?
Halten Sie sich bereit, auch interne Informationen gegenüber Aufsichtsbehörden offenzulegen.

Mehr dazu finden Sie hier: CURIA – Documents

3. Das schreiben die Anderen zum Datenschutz

• DORA: Aktueller Stand und geltende Rundschreiben der BaFin
• Arbeitgeberbewertungsplattformen und die Anonymität der Nutzer

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter