Unser Datenschutz-Update im September 2025

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den September 2025.

1. Nachrichten aus der Welt des Datenschutzes

Vom Home Office zurück ins Unternehmen – arbeitsrechtliche Empfehlungen für Arbeitgeber:innen

Es hat einige Zeit gedauert nach dem Ende der Corona-Pandemie, doch nun wünschen sich immer mehr Unternehmen, dass ihre Mitarbeiter:innen ins Büro zurückkehren. Der Übergang von pandemiebedingtem Home Office zurück in die Präsenzarbeit wirft für Arbeitgeber:innen sowohl arbeitsrechtliche als auch psychologische Fragen auf. Im Folgenden geben wir eine umfassende Orientierung zu den rechtlichen Rahmenbedingungen und praxisnahe Handlungsempfehlungen, wie ein möglichst reibungsfreier Übergang geschafft werden kann.

1. Ausgangslage: Corona-Vereinbarungen und aktuelle Rechtslage

Während der Corona-Pandemie wurden in vielen Unternehmen kurzfristig Betriebsvereinbarungen oder individuelle Home-Office-Regelungen eingeführt. Diese hatten oft den Charakter von Ausnahmeregelungen, um den Gesundheitsschutz sicherzustellen. Typische Inhalte solcher Vereinbarungen:

• Dauer und Widerrufsrecht: Befristung der Home-Office-Erlaubnis oder Widerrufsklauseln bei geänderter Pandemielage.
• Arbeitszeitregelungen: Festlegung der Erreichbarkeit und Kernarbeitszeiten.
• Datenschutz und Arbeitsschutz: Regelungen zu IT-Sicherheit, ergonomischer Arbeitsplatzgestaltung und Versicherungsschutz.

Heute gilt: Die gesetzliche Home-Office-Pflicht ist aufgehoben. Ob und in welchem Umfang eine Rückkehr angeordnet werden kann, hängt daher primär von den individuellen Vereinbarungen ab.

2. Rechtliche Möglichkeiten zur Anordnung der Rückkehr

Arbeitgeber:innen besitzen grundsätzlich ein Direktionsrecht (§ 106 GewO). Dieses ermöglicht, den Arbeitsort im Rahmen des Arbeitsvertrags festzulegen.
Zu beachten:

• Arbeitsvertrag prüfen: Enthält der Vertrag bereits einen festen Arbeitsort (z.B. „Betriebsstätte in München“), kann Home Office als vorübergehende Ausnahme gewertet werden.
• Betriebsvereinbarung überprüfen: Besteht eine Betriebsvereinbarung, hat diese Vorrang. Hier kann festgelegt sein, dass Änderungen nur im Einvernehmen mit dem Betriebsrat möglich sind!
• Individuelle Absprachen: Wurde Home Office im Arbeitsvertrag oder per Zusatzvereinbarung dauerhaft zugesichert, ist eine einseitige Rückkehranordnung nicht ohne weiteres möglich – hier bedarf es einer einvernehmlichen Änderung.

3. Praktisches Vorgehen für eine sukzessive Rückkehr

Eine plötzliche 100%-Präsenzpflicht kann auf mehr Widerstand stoßen als ein gestufter Rückkehr-Plan:

1. Bestandsaufnahme: Ermitteln Sie, wie viele Mitarbeiter:innen regelmäßig von zu Hause arbeiten und welche betrieblichen Bedürfnisse eine Präsenz erfordern.
2. Kommunikation frühzeitig gestalten: Informieren Sie transparent über Gründe für eine Rückkehr ins Büro (z.B. bessere Zusammenarbeit an Projekten, Kund:innenkontakt vor Ort).
3. Übergangsregelungen schaffen: Beispielsweise zunächst 1–2 Präsenztage pro Woche, später schrittweise ausweiten.
4. Flexibilität ermöglichen: Hybride Modelle (z.B. 2–3 Tage Home Office pro Woche) erhöhen die Akzeptanz und können rechtlich leichter durchgesetzt werden.

4. Psychologische Tipps, um das Arbeiten im Büro zu fördern

Die Rückkehr ins Büro ist nicht nur eine juristische, sondern auch eine emotionale Herausforderung. Um die Motivation zu fördern:

• Reine Top-Down-Befehle vermeiden: Die Jahrhunderte, in denen Arbeitgeber:innen Herrscher:innen waren, die ihre Macht über die Belegschaft nach Lust und Laune ausüben konnten, sind – zum Glück – vorbei. Deshalb sollten auch kategorische Befehle ohne weitere Erläuterungen vermieden werden, oder harte Fronten in Vorstandsetagen, die keinen Raum für Anregungen oder Diskussion lassen. Dieses Verhalten allein erregt Widerstand in der Mehrheit von Menschen, selbst wenn sie gar nichts gegen die Arbeit in den Büroräumen einzuwenden hätten.
• Wertschätzung betonen: Machen Sie deutlich, dass der persönliche Austausch wichtig ist und schätzen Sie die Leistungen im Home Office an.
• Soziale Anreize schaffen: Gemeinsame Team-Events, After-Work-Meetings oder ein wöchentlicher gemeinsamer Lunch fördern die Bindung.
• Arbeitsumfeld modern gestalten: Angenehme Arbeitsplätze, Ruhezonen, ergonomische Möbel und eine gute technische Ausstattung steigern die Attraktivität.
• Mitbestimmung einbinden: Fragen Sie Mitarbeiter:innen nach Wünschen und Ideen – das schafft Akzeptanz und Identifikation. Diese sollten dann auch ernstgenommen und sich in der Umsetzung wiederfinden. Soweit dies möglich ist. Ansonsten führen leere Phrasen nur zu Unmut und Misstrauen in der Belegschaft gegenüber der Führung.

Fazit

Arbeitgeber:innen sollten den Rechtsrahmen sorgfältig prüfen, bevor sie eine Rückkehr ins Büro anordnen. Transparente Kommunikation, ein gestufter Plan und die Einbindung der Mitarbeiter:innen sind entscheidend. Mit einem attraktiven Arbeitsumfeld und sozialer Wertschätzung gelingt es, die Vorzüge des Büros wieder ins Bewusstsein zu rücken und die Rückkehr positiv zu gestalten.

Neue DSK-Orientierungshilfe zu Drittlandübermittlungen in der medizinischen Forschung

Die Datenschutzkonferenz (DSK) hat eine neue Orientierungshilfe veröffentlicht, die sich speziell mit Datenübermittlungen an Drittländer zu medizinischen Forschungszwecken befasst. Für kleine und mittlere Unternehmen im Gesundheitswesen oder in der Forschung ist dies ein wichtiges Signal: Die DSK schafft mehr Klarheit bei der rechtssicheren Verarbeitung sensibler Gesundheitsdaten.

Fokus auf „Broad Consent“ und Rechtsgrundlagen

Im Mittelpunkt steht die viel diskutierte Rechtsgrundlage des „Broad Consent“, die in Erwägungsgrund 33 der DSGVO beschrieben wird. Dieser „weite Einwilligungsansatz“ bildet eine Ausnahme vom Zweckbindungsgrundsatz nach Art. 5 Abs. 1 lit. b DSGVO. Die Orientierungshilfe analysiert zunächst die möglichen Rechtsgrundlagen nach Art. 6 DSGVO und die zusätzlichen Anforderungen für besondere Datenkategorien gemäß Art. 9 DSGVO.

Anforderungen an Drittlandübermittlungen

Im zweiten Schritt bewertet die DSK die Voraussetzungen für internationale Datentransfers nach Kapitel V DSGVO – etwa Angemessenheitsbeschlüsse, Standardvertragsklauseln inklusive Transfer Impact Assessment sowie ggf. Zusatzmaßnahmen. Diese Aspekte sind entscheidend, wenn Daten beispielsweise in die USA oder andere Nicht-EU-Länder fließen.

Empfehlungen zu Informationspflichten

Flankierend gibt es neue DSK-Empfehlungen, die Verantwortlichen helfen sollen, ihre Informationspflichten nach Art. 13/14 DSGVO zu erfüllen. Sie präzisieren insbesondere die nach Art. 13 Abs. 1 lit. f und Art. 14 Abs. 1 lit. f DSGVO erforderlichen Angaben und ergänzen Hinweise zu den Pflichten nach Art. 46 ff. DSGVO.

Fazit:
Für KMUs, die in der medizinischen Forschung tätig sind oder entsprechende Daten verarbeiten, liefert die neue Orientierungshilfe praxisnahe Leitlinien für rechtskonforme Drittlandübermittlungen. Es lohnt sich, die Empfehlungen frühzeitig in die eigenen Datenschutzprozesse zu integrieren, um Compliance-Risiken zu minimieren und den internationalen Datenaustausch sicher zu gestalten.

Mehr dazu finden Sie hier: https://www.datenschutzkonferenz-online.de/media/oh/20250917_DSK_OH_Datenuebermittlungen_Anlage.pdf

2. Entscheidungen des Monats

Thema

Für alle Anbieter:innen von Online Coaching-Inhalten gab es aktuell – mal wieder – ein neues Urteil. Diesmal sprach sich das LG Hamburg zu den Fragen aus, wann eine Lernkontrolle oder „Überwachung des Lernerfolgs“ anzunehmen ist. Hier hat das Gericht erfreulich vernünftige Ansichten. Es bleibt zu hoffen, dass sich diese Ansichten in der Rechtssprechung durchsetzen. Interessant ist insbesondere auch, dass nach Ansicht des LG das Gesetz (FernUSG) nur an eine einzelne, individuell betreute Person anknüpft und damit nicht an Konstellationen, in denen mehrere Personen gemeinschaftlich Teilnehmer:innen sind.

Hier kommen die wichtigsten Punkte der Begründung für die Klageabweisung (der Kläger verlangte Rückzahlung der Kursgebühr) im Überblick:

1. Gruppencalls (im Fall 15-20 Personen) mit der Gelegenheit, Fragen zu stellen, genügen nicht für die Annahme einer „Überwachung des Lernerfolgs“ im Sinne von § 1 FernUSG. Zitat: „Naheliegender scheint vielmehr, dass es bei der Beantwortung der Fragen im Rahmen der Live- Calls um die Klärung individueller unternehmerischer Bedürfnisse der Teilnehmer ging und nicht um eine Überwachung und Kontrolle vermittelten Wissens.“
2. Das FernUSG ist nicht anwendbar auf Angebote, in denen mehrere Personen gemeinschaftlich Teilnehmer:innen sind. Nach Ansicht des LG Hamburg bezieht sich das Gesetz auf die individuelle Betreuung von einzelnen Personen.
3. Die Bewerbung eines Coachings mit allgemeinen Erfolgsgeschichten oder marktschreierischen Anpreisungen begründet noch keine arglistige Täuschung i.S.v. § 123 Abs. 1 BGB.
4. Trotz des Angebots digitaler Lernvideos, begleitender Gruppencalls und ggf. einer Chat-Betreuung fällt ein Online Coaching-Anbgebot dann nicht unter das Fernunterrichtsschutzgesetz (FernUSG), wenn keine individuelleLernerfolgskontrolle angeboten wird und gesetzlich keine Vermittlung einer Qualifikation geschuldet ist.

Auch prüft das Gericht § 138 Abs. 2 BGB vorbildlich und vollständig, was bei anderen Entscheidungen zu diesem Thema nicht immer der Fall zu sein scheint:

„Der streitgegenständliche Vertrag ist auch nicht wegen Wuchers nichtig. Gemäß § 138 Abs. 2 BGB ist ein Rechtsgeschäft nichtig, durch das jemand unter Ausbeutung der Zwangslage, der Unerfahrenheit, des Mangels an Urteilsvermögen oder der erheblichen Willensschwäche eines anderen sich oder einem Dritten für eine Leistung Vermögensvorteile versprechen oder gewähren lässt, die in einem auffälligen Missverhältnis zu der Leistung stehen.“

Und weiter: „Im Übrigen trägt der Kläger weder vor, dass die Beklagte eine Leistung erbringen sollte, auf die er zur Behebung einer Zwangslage angewiesen war, noch dass die Beklagte eine umfassend mangelnde Erfahrung des Klägers im Geschäfts- oder Wirtschaftsleben ausgenutzt hätte oder ihm in erheblichem Maße die Fähigkeit gefehlt hätte, sich durch vernünftige Beweggründe leiten zu lassen noch dass er wegen einer verminderten psychischen Widerstandsfähigkeit dem Rechtsgeschäft nicht hätte widerstehen können, obwohl er dessen Nachteil durchschaut habe. Der Annahme des Bestehens eines sittenwidrigen Handelns auf Seiten der Beklagten steht somit auch die fehlende Erfüllung des subjektiven Tatbestands des § 138 Abs. 2 BGB entgegen.“

Insgesamt stellt das Urteil eine gerechte und ausbalancierte Bewertung des Sachverhalts dar, ohne künstlich zu versuchen, eine Marktregulierung zu betreiben.

Mehr dazu finden Sie hier: https://www.landesrecht-hamburg.de/bsha/document/NJRE001620478

BAG-Urteil zu Datenschutz und Bewerbungsverfahren

Das Bundesarbeitsgericht (BAG) hat am 5. Juni 2025 (Az. 8 AZR 117/24) ein interessantes Urteil gefällt, welches für die Personalauswahl und beim Umgang mit Bewerber:innendaten relevant ist. Das Gericht stellt klar, dass ein Datenschutzverstoß im Bewerbungsverfahren nicht automatisch zu einem Anspruch auf Schadensersatz führt – weder für materielle noch für immaterielle Schäden – wenn die Entscheidung über die Nichteinstellung aus anderen, sachlich gerechtfertigten Gründen erfolgt ist.

Sachverhalt verkürzt zusammengefasst:

Der Kläger bewarb sich mit Schreiben vom 23. Juni 2021 unter Hinweis auf seine Schwerbehinderung auf die Stelle. Die Beklagte führte am 12. und 14. Juli 2021 Vorstellungsgespräche mit drei Bewerber:innen, darunter der Kläger. Unter dem Datum des 16. Juli 2021 fertigte die Beklagte einen Auswahlvermerk. Dieser enthält Angaben zu den Verfahrensdaten, der Personalvorauswahl, eine allgemeine, bewerberunabhängige Darstellung des Ablaufs des Vorstellungsgesprächs, den Grundlagen der Auswahlentscheidung sowie dem Abwägungsprozess des Auswahlgremiums auf der Grundlage der geführten Vorstellungsgespräche. Zur Auswahlentscheidung lautet er u.a.:

„Aus öffentlich zugänglichen Quellen ist zu entnehmen, dass [der Kläger] bereits erstinstanzlich wegen gewerbsmäßigen Betruges zu einer Freiheitsstrafe von einem Jahr und vier Monaten auf Bewährung verurteilt wurde (Landgericht München, Urteil vom 06. Juli 2020, Az. …). Der Vorwurf lautete, [der Kläger] habe vielfach fingierte Bewerbungen eingereicht, um potenzielle Arbeitgeber anschließend wegen angeblicher Diskriminierung zur Zahlung von Entschädigungen (nach AGG) zu veranlassen. Das Urteil ist noch nicht rechtskräftig, [der Kläger] hat hiergegen Revision beim BGH eingelegt. Der o.g. Sachverhalt ist ein solch negativer Aspekt, der in gebotener Weise bei der Besetzung der Stelle ‚Volljurist*in‘ in der Stabsstelle Justitiariat zu berücksichtigen ist. Eine Einstellung [des Klägers] könnte nur unter der auflösenden Bedingung eines einwandfreien Führungszeugnisses erfolgen. Zwar steht die Entscheidung des BGH bzgl. der Revision im o.g. Verfahren noch aus, jedoch kann der [Beklagten] als öffentlichem Arbeitgeber nicht zugemutet werden, diese Entscheidung abzuwarten..(…)“

Tatsächlich hob der BGH das Strafurteil auf und verwies für eine erneute Entscheidung an eine Strafkammer des Landgerichts.

Nach außergerichtlicher Geltendmachung legte der Bewerber Klage ein, mit der er die Feststellung einer Verpflichtung der Beklagten begehrt hat, ihm einen aufgrund der Nichteinstellung entstandenen materiellen Schaden zu ersetzen.

Gerichtlich wurde ihm ein Schadensersatzanspruch von 1.000,00 € zugesprochen, im Übrigen wurde seine Klage abgewiesen (Tatsächlich erging vorab ein Versäumnisurteil, was hier ohne weiteren Belang ist). Der Kläger legte Revision beim BAG ein. Die Revision wurde zurückgewiesen.

1. Materieller Schadensersatz nur bei nachweisbarer Kausalität

Tatsächlich verstieß die Behörde bei der Erhebung der personenbezogenen Daten im Auswahlverfahren gegen die DSGVO. Dabei kam sowohl ein Verstoß gegen Art. 6, Art. 10 und/oder Art. 14 in Betracht.

Aber: „Bei den geltend gemachten Verstößen gegen die Datenschutz-Grundverordnung handelt es sich um Fehler im Auswahlverfahren, die für sich betrachtet nicht ursächlich für einen dem Kläger durch die Nichteinstellung entstandenen Schaden geworden sein können.“

Nach Art. 82 Abs. 1 DSGVO setzt ein Anspruch auf materiellen Schadensersatz voraus, dass der Datenschutzverstoß kausal für den entstandenen Schaden war. Liegt der Grund für die Nichteinstellung beispielsweise in begründeten Zweifeln an der persönlichen oder fachlichen Eignung, fehlt es an dieser Kausalität. Auch Fehler bei der Tatsachenbewertung sind unbeachtlich, wenn das Ergebnis unabhängig davon rechtmäßig geblieben wäre.

2. Anforderungen an den Bewerbungsverfahrensanspruch

Will ein:e Bewerber:in wegen einer Verletzung des Bewerbungsverfahrensanspruchs nach Art. 33 Abs. 2 GG, § 280 Abs. 1 BGB oder § 823 Abs. 2 BGB Schadensersatz verlangen, muss sie bzw. er darlegen, dass sie die bzw. er der bestqualifizierte Bewerber:in war und das Auswahlermessen auf Null reduziert war. Ein bloßer Datenschutzverstoß reicht nicht.

3. Eignungsprüfung und anhängige Strafverfahren

Das BAG stellt klar: Bei der Prüfung der persönlichen Eignung dürfen – je nach Aufgabenprofil – begründete Zweifel genügen. Diese können sich auch aus einem anhängigen Strafverfahren oder einer nicht rechtskräftigen Verurteilung ergeben. Die Unschuldsvermutung (Art. 6 Abs. 2 EMRK) steht dem nicht entgegen. Gerade bei Stellen, die etwa Prozessführung oder die Mitwirkung in einer AGG-Beschwerdestelle erfordern, wiegen Zweifel an Loyalität, Aufrichtigkeit und Zuverlässigkeit besonders schwer.

Ein (behauptetes) datenschutzrechtliches Verwertungsverbot entbindet die Bewerberin bzw. den Bewerber also nicht davon, darzulegen, dass sie bzw. er trotz der belastenden Umstände bestgeeignet war.

• Immaterieller Schadensersatz nach Art. 82 Abs. 1 DSGVO hat nur Ausgleichsfunktion – nicht aber eine abschreckende Wirkung.
• Eine pauschale Erhöhung des Entschädigungsbetrags bei Mehrfachverstößen innerhalb desselben Verarbeitungsvorgangs ist ausgeschlossen.
• Ein Entschädigungsbetrag von 1.000 € für einen immateriellen Schaden wie Kontrollverlust oder die Herabsetzung des Achtungsanspruchs liegt im tatrichterlichen Ermessen.

Fazit 

Für Arbeitgeber:innen bedeutet das Urteil: Sorgfalt im Bewerbungsverfahren bleibt Pflicht, doch nicht jeder Datenschutzverstoß führt automatisch zu hohen Schadensersatzforderungen.

• Datenschutzverstöße vermeiden: Datenschutzkonforme Bewerbungsverfahren und transparente Informationspflichten nach DSGVO sind unerlässlich.
• Dokumentation der Auswahlentscheidung: Sachlich nachvollziehbare Gründe für die Nichteinstellung sollten gut dokumentiert sein.
• Sensibler Umgang mit laufenden Strafverfahren: Solche Informationen dürfen in die Eignungsprüfung einfließen, wenn das Anforderungsprofil dies erfordert.

3. Das schreiben die Anderen zum Datenschutz

• Neues zur Anonymität auf Bewertungsplattformen
• LG Lübeck: Übermittlung von Positivdaten an Wirtschaftsauskunftei

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter

Externer Datenschutzbeauftragter