HMDATA Datenschutz-Newsletter 11/25

11/25: Dauerbrenner: Grundlagen und wissenswerte Facts zum Datenschutz

HMDATA Datenschutz-Newsletter 11/2025, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2025

Da noch immer ein wenig Unklarheit und Halbwissen im Umgang mit dem Datenschutz und der zu Grunde liegenden geltenden Datenschutz-Grundverordnung (DSGVO) herrscht, sind im Folgenden ein paar "klassische" Fakten zur Anwendung zusammengetragen, die einen korrekten, praxisgerechten Blick auf den anzuwendenden Datenschutz bieten sollen.
Bitte hierbei immer beachten: es geht nicht um den administrativen, dokumentatorischen Schutz von Daten oder komplexe Maßnahmen zur IT-Sicherheit, sondern um den Schutz von Menschen auf Grund ihrer im Grundrecht verankerten informationellen Selbstbestimmung.
1. Anwendungsbereich

Es gilt: automatisierte Verarbeitung personenbezogener Daten im gewerblichen Kontext (Art. 2 Abs. 1 DSGVO).

Tipps:
- Anonymisierung entfernt die Anwendbarkeit der DSGVO (ErwgGr. 26)
- kein Datenschutz für juristische Personen (ErwGr. 14)
- die DSGVO findet keine Anwendung auf Verstorbene (ErwgGr. 27)

2. Freier Datenverkehr in der EU

Die DSGVO ist zuständig für den freien Datenaustausch personenbezogener Daten innerhalb der EU. Dieser darf weder eingeschränkt noch verboten werden (Art. 1 Abs. 1 und 3 DSGVO) und sorgt für den Schutz der Menschen hinter den verarbeiteten Daten (Art. 1 Abs. 2 DSGVO).
Die DSGVO stellt also die Spielregeln im Umgang mit automatisiert verarbeiteten personenbezogenen Daten dar.

3. Konforme Verarbeitung personenbezogener Daten

Das heißt aber, wenn man Daten im Sinne der DSGVO verarbeitet, dann muss man es auch richtig machen.

  • Informations- und Transparenzpflichten
    Vor Verarbeitung sind die Betroffenen über Art und Zweck präzise und transparent in einfacher Sprache zu informieren (Art. 12 DSGVO, ErwgGr. 60 DSGVO).
  • Rechtliche Grundlage
    Zur Verarbeitung ist eine rechtliche Grundlage nach Art. 6 Abs. 1 DSGVO zu schaffen. Regelmäßig wären dies Einwilligung, Vertrag, Gesetz oder "berechtigtes Interesse" (ErwgGr. 40 DSGVO).
    - Erfolgt die Verarbeitung zur Erfüllung eines Vertrages, ist diese grundsätzlich als rechtmäßig anzusehen (ErwgGr. 44)
    - Verarbeitung zur Netz- und Informationssicherheit kann auf "berechtigtes Interesse" nach Art. 6 Abs. 1 lit. f DSGVO berufen werden
  • Sicherheit der Verarbeitung
    Je nach Risiko der Verarbeitung sind geeignete technisch-organisatorische Maßnahmen (ErwgGr. 78, ErwgGr. 83) zu treffen, um die Sicherheit der Verarbeitung zu gewährleisten (Art. 25 und 32 DSGVO, ErwgGr. 76).
    Der Verantwortliche der Verarbeitung sorgt für Einhaltung der Maßnahmen zum Schutz der Daten (Art. 24 DSGVO), hat hierfür Rechenschafts- und Nachweispflicht (Art. 5 Abs. 2 DSGVO) und qualifiziert seine Mitarbeiter im erforderlichen Umfang.
  • Einhaltung der Grundlagen der Verarbeitung (Art. 5 Abs. 1 DSGVO)
    - Rechtmäßigkeit, nach Treu und Glauben, transparente Verarbeitung
    - Zweckbindung und Koppelungsverbot (s. 1.)
    - Datenerhebung nur für den erforderlichen Zweck (Datenminimierung)
    - Pflicht zur Aktualität und Richtigkeit
    - Integrität und Vertraulichkeit, Wiederherstellbarkeit, Schutz vor Verlust
  • Aufbewahrungspflichten
    Nach Entfall der rechtlichen Grundlage (Widerruf Einwilligung, Entfall Verarbeitungszweck) sind Daten zu löschen. Prüfung gesetzlicher Aufbewahrungspflichten (Art. 17 Abs. 3 DSGVO).

4. Betroffenenrechte

Die Daten "gehören" nicht dem Unternehmen, sondern der betreffenden Person. Das Unternehmen verarbeitet diese treuhänderisch und zweckgebunden. Damit die Betroffenen ein Kontrollrecht haben, stehen diesen umfangreiche Rechte gegenüber dem Unternehmen zur Verfügung. Die Betroffenenrechte (insb. Art. 15 bis 22 DSGVO) sind jederzeit, unabdingbar, formlos, ohne Angabe von Gründen auszuführen. Authentifizierungs-/Identitätsprüfungspflicht beachten. Man ist als Unternehmen jedoch nicht schutzlos der unangemessenen Ausübung von Betroffenenrechten ausgeliefert, der Datenschutzbeauftragte hilft beim sicheren Umgang.

Tipps
- Datenschutzbeauftragten unmittelbar konsultieren
- formale Anforderungen (insb. Art. 15 DSGVO "Auskunft") und Vollständigkeit beachten
- unverzüglich auszuführen, maximal 1 Monat (Art. 12 Abs. 3 DSGVO)
- auch Negativauskünfte sind unmittelbar auszuführen
- Recht auf Präzisierung bei umfangreicher Verarbeitung (ErwgGr. 63 Satz 7 DSGVO)
- Kommunikationsweg der Beantwortung beachten
- Authentifizierungspflicht, Betroffener muss Identitäsprüfungsverfahren über sich ergehen lassen (Art. 12 Abs. 6 DSGVO, ErwgGr. 57, ErwgGr. 64)
- Implikationen eines Widerrufs (nach Art. 21 DSGVO) beachten ("Unmöglichkeit der weiteren Verarbeitung")
- Auftragsverarbeiter konsultieren

5. Externe Dienstleister

In Anspruch genommene externe Dienstleister müssen datenschutzrechtlich integriert werden. Je nach Tätigkeit und Art des Verarbeitungszweckes sind hier unterschiedliche Rechtsinstumente zu verwenden. Diese sind nicht wahlweise, sondern der Verarbeitungsart und der Stellung und Tätigkeit der Verantwortlichen verpflichtend.

  • Eigene Verantwortlichkeit
    Der Dienstleister erbringt eine Tätigkeit, bei der er selbst über Art, Umfang, Mittel und Zwecke bestimmt.
    Hinweis: Nennung durch den Informations- und Transparenzpflichten.
  • Gemeinsame Verantwortlichkeit (Joint-Controller)
    Projektbezogene Verarbeitung (Art. 26 DSGVO), bei der verschiedene verantwortliche Stellen individuelle Dienstleistungen unter eigener Verantwortlichkeit einbringen.
    Hinweis: erweiterte Informations- und Transparenzpflichten zur Klärung der jew. Verantwortlichkeiten.
  • Auftragsverarbeitung
    Der Dienstleister erbringt extern eine Tätigkeit im Auftrag (Art. 28 DSGVO), bei der die verantwortliche Stelle selbst über Mittel, Zweck und Umfang der Verarbeitung bestimmt.
    Die Regeln der Beauftragung (Garantien und regelmäßige Prüfung der Sicherheit der Verarbeitung, Informations-/Transparenzpflichten, gegenseitige Meldepflichten, Beauftragung neuer Dienstleister) sind einzuhalten.

6. Umgang mit Datenpannen

Jede Datenpanne ist nach Art. 33 Abs. 1 DSGVO innerhalb 72 Stunden meldepflichtig. Ausnahme: kein oder geringes Risiko für Betroffene (ErwgGr. 85).
Tipps:
- sinnvolle Prävention und standardisierte Prozesse verhindern die meisten Datenpannen
- Notfallkontakte notieren und aktuell halten
- bei Kenntnisnahme schwerwiegender Datenpannen umgehend Incident-Response-Team einberufen
- Dokumentation der Risikoprüfung als Nachweis der Nichtmeldung
- häufigste Ursache: E-Mail-Fehlversand, Schadcode per E-Mail
- Dokumentations-/Nachweispflicht beachten
- einfachste Prävention: Mitarbeiterqualifizierung
- immer DSB konsultieren
- eine behördliche Meldung nach Art. 33 Abs. 1 DSGVO führt nicht unmittelbar zu einem Bußgeld nach Art. 84 DSGVO
- bei fortlaufendem hohen Risiko sind die Betroffenen zu informieren (ErwgGr. 86)

7. Einwilligung

Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO kann die umfangreichste, jedoch auch die fragilste Art der rechtlichen Grundlage darstellen - sie stellt also nicht unbedingt die Idealform der rechtlichen Grundlage dar, da sie jederzeit ohne Angaben von Gründen widerrufen werden kann (Art. 21 DSGVO).
Tipps
- Pro forma Einwilligungen bei bereits bestehender rechtlichen Grundlage sind kontraproduktiv ("Einwilligeritis")
- Einwilligungen müssen durch eine eindeutig, bestätigende Handlung erfolgen (ErwgGr. 32 DSGVO)
- Einwilligungen müssen freiwillig für eine eindeutigen Zweck erfolgen
- Widerruf der Einwilligung für die Zukunft und muss so einfach wie die Erteilung sein
- der Betroffene ist auf die Konsequenzen des Widerrufs hinzuweisen
- Der Verantwortliche muss die Erteilung einer Einwilligung nachweisen können (Art. 7 Abs. 1 DSGVO i.V.m. ErwgGr. 42 DSGVO)
- Stillschweigen oder Untätigkeit stellen keine Einwilligung dar (ErwgGr. 32 Satz 3 DSGVO)
- für jeden Verarbeitungszweck ist eine eigene Einwilligung erforderlich (ErwgGr. 32 Satz 7 DSGVO)
- das Verweigern einer Einwilligung darf zu keinen Nachteilen (außer Verunmöglichung des Verarbeitungszweckes) für den Betroffenen führen (ErwgGr. 42)
- Informationspflicht vor Einwilligung: mind. Verantwortliche Stelle und Zweck der Verarbeitung
- bei Verarbeitung auf Grund einer Einwilligung sind die Prozesse der Verarbeitung jederzeit auch auf den Widerruf anzupassen
- prüfen der Einwilligungsnotwendigkeit bei besonderen personenbezogenen Daten nach Art. 9 DSGVO

8. Sicherheit der Verarbeitung

Je nach Art und Zweck der Verarbeitung, Umfang und Sensibilität der Daten sind geeignete Maßnahmen zu treffen, um das Risiko der Exfiltration oder Nichtverfügbarkeit einzugrenzen. Hierbei sind durchaus auch betriebswirtschaftliche Parameter (Art. 32 Abs. 1 DSGVO) zu berücksichtigen.
Tipps
- die Anforderungen an die Sicherheit ändern sich stetig. Die eingesetzte IT ist also regelmäßig auf Geeignetheit und Sicherheit der Verarbeitung zu prüfen.
- ohne notwendige gegebene Sicherheit ist die Verarbeitung nicht zulässig
- Unkenntnis, Kosten oder mangelndes Know-How sind keine Ausreden zur Unterlassung der notwendigen Sicherheit
- ohne aktuelle Dokumentation und Know-How kann die Sicherheit grundsätzlich nicht gewährleistet werden
- Cloud-, SaaS- oder dedizierte IT im Eigenbetrieb können gleichermaßen sicher betrieben werden
- auch bei Betrieb von Cloud-Systemen muss das Intranet geeignet gesichert werden
- Nichtverfügbarkeit bei fehlender Redundanz ist auch eine Datenpanne
- Backups, die nicht regelmäßig geprüft sind, bieten keine Sicherheit
- Backups unterliegen den gleichen Sicherheitsanforderungen wie das Produktivsystem (Verschlüsselung, Passwortschutz, Zugriff/Zugang, Aufbewahrung)
- typische Gefahren sind Nichtverfügbarkeit durch Ransomware und Exfiltration durch Fahrlässigkeit oder Schadcode. Die Sicherheitssysteme sind hierfür geeignet einzurichten.
- Risikomanagement hilft beim betriebswirtschaftlich sinnvollen Investieren in die IT
- Need-to-Know, Zero-Trust, Security-First, Segmentierung sind geeignete Methoden für die IT-Sicherheit
- ohne sinnvolles, dokumentiertes Berechtigungssystem gibt es keine IT-Sicherheit
- Zugangsschutz nach Stand der Technik (bspw. biometrische-, 2-Faktor-Authentifizierung, Passwort-Richtlinie, Sensibilisierung, Monitoring, Alerts) ist anzuwenden und einzusetzen
- ohne geeignete, professionell gewartete Firewall keine IT-Sicherheit

Fazit

Grundsätzlich kann jede Verarbeitung personenbezogener Daten im EU-Geltungsbereich durchgeführt werden, solange sie nicht gegen Gesetze oder "gute Sitten" verstößt.
Wird dies gemacht, muss man sich an die Spielregeln halten, die Verarbeitung ist immer aus Sicht der Betroffenen nach Treu und Glauben, Datenminimierung, Zweckgebundenheit unter Beachtung der spezifischen Sicherheit nach Stand der Technik durchzuführen.

Kurz: als Betroffener hat man das Recht, das von Unternehmen mit seinen Daten vertrauensvoll umgegangen und unter Beachtung geeigneter Maßnahmen nur das gemacht wird, über das man vorab informiert wurde und was man auch beauftragt hat. Entfällt dies, muss gelöscht werden.
Mit seinen Rechten kann man die Unternehmen unabdingbar kontrollieren und im Datenpannenfall Beschwerderecht (Art. 77 DSGVO) oder Schadenersatz (Art. 82 DSGVO) einfordern.

©2025 by Harald Müller-Delius. Dieser Text ist urheberrechtlich geschützt. Das Verwenden - auch in Auszügen - ist nur nach ausdrücklicher schriftlicher Genehmigung durch den Autor gestattet. Jede widerrechtliche Nutzung ist untersagt. Für diesen Text können Nutzungsrechte erworben werden, Anfragen zur Nutzung per E-Mail an hmd@hmdata.de