Datenschutz-Newsletter August 2025

11.08.2025, 12:20 Uhr

Lidl-Plus App und die unerlaubte Datennutzung

Die Verbraucherzentrale hat gegen Lidl Klage erhoben, weil die Lidl-Plus-App, die mit exklusiven Rabatten wirbt, eine problematische Praxis im Umgang mit Kundendaten verfolgt. Nutzer der App geben bei der Registrierung persönliche Daten wie Vorname, E-Mail-Adresse, Handynummer und Geburtsdatum an. Darüber hinaus verfolgt die App das Einkaufsverhalten, den Standort des Nutzers, welche Rabatte er einlöst und wie er die App verwendet. Diese gesammelten Informationen werden verwendet, um detaillierte Kundenprofile zu erstellen und gezielte Werbung auszuspielen.

Die Verbraucherzentrale kritisiert, dass Lidl nicht ausreichend darauf hinweist, dass Nutzer der App ihre persönlichen Daten im Austausch für Rabatte preisgeben. Diese Information sollte bereits vor der Registrierung deutlich gemacht werden, so die Forderung der Verbraucherzentrale. Die Klage gegen Lidl ist als Pilotverfahren von großer Bedeutung, da sie grundlegende rechtliche Fragen über die Informationspflichten bei digitalen Bonusprogrammen aufwirft. Es wird erwartet, dass das Verfahren wegweisend für die Transparenz und den Umgang mit Kundendaten in der Zukunft ist.

Grenzüberschreitender Datentransfer bei TikTok in der Überprüfung

Am 10. Juli 2025 leitete die irische Datenschutzkommission (DPC) ein neues Verfahren gegen TikTok ein. Der Anlass war die Speicherung von personenbezogenen Daten von Nutzern aus dem Europäischen Wirtschaftsraum (EWR) auf Servern in China, was den zuvor gemachten Angaben des Unternehmens widersprach. TikTok hatte zuvor erklärt, dass EWR-Daten nur auf Servern außerhalb Chinas gespeichert würden, dass ein Fernzugriff auf EWR-Nutzerdaten jedoch durch Mitarbeitende in China möglich sei. Im April 2025 wurde offengelegt, dass seit Februar 2025 auch EWR-Daten physisch in China gespeichert wurden.

Die Untersuchung konzentriert sich hauptsächlich auf die Frage, ob TikTok eine gültige Rechtsgrundlage für die Übermittlung von Daten nach China hat. Die DSGVO erfordert entweder einen Angemessenheitsbeschluss der EU-Kommission oder geeignete Schutzmechanismen, wie Standardvertragsklauseln, um sicherzustellen, dass das Datenschutzniveau im Drittland vergleichbar mit dem der EU ist. Da es für China keinen Angemessenheitsbeschluss gibt, muss TikTok nachweisen, dass die übermittelten Daten dort ausreichend geschützt sind. Besondere Aufmerksamkeit gilt daneben der Transparenzpflicht von TikTok und der Zusammenarbeit mit den Aufsichtsbehörden. Die DPC zeigte sich besorgt über die unzutreffenden Angaben des Unternehmens. Das Verfahren verdeutlicht, wie wichtig vollständige und wahrheitsgemäße Angaben gegenüber den Datenschutzbehörden sind. Unvollständige oder falsche Informationen können erhebliche rechtliche und reputationsbezogene Konsequenzen für Unternehmen haben. Eine transparente Dokumentation und die korrekte Kommunikation sind entscheidend, um im Falle einer Prüfung den Anforderungen der Datenschutzgesetze gerecht zu werden.

Sicherheitsproblem bei Microsoft Sharepoint

Microsoft steht in der Kritik aufgrund einer schwerwiegenden Sicherheitslücke in der On-Premise-Version seiner Software SharePoint, die es Hackern ermöglicht, auf sensible Daten in Unternehmen und Behörden zuzugreifen. Die Sicherheitslücke betrifft vor allem Organisationen, die SharePoint lokal betreiben, während die Cloud-Version des Dienstes nicht betroffen ist. Die Lücke, die bereits seit dem 18. Juli 2025 ausgenutzt wird, ist besonders gefährlich, da Angreifer mithilfe des “Maschinenschlüssels” eines Servers die Kontrolle über betroffene Systeme übernehmen können. Dies stellt eine enorme Bedrohung dar, da auf diesen Servern oft sensible Dokumente wie interne Daten und vertrauliche Informationen gespeichert sind.

Microsoft hatte bereits im Mai 2025 einen Patch für eine ähnliche Schwachstelle veröffentlicht, doch dieser scheint nicht alle Varianten des Angriffs abgedeckt zu haben. Die neue Sicherheitslücke ist eine Variante der zuvor entdeckten Schwachstelle, was zeigt, dass Microsoft beim ersten Patch möglicherweise einen wichtigen Aspekt übersehen hat. Dies hat dazu geführt, dass Hacker nun eine neue Angriffsmethode entwickeln konnten, um in Systeme einzudringen.

Der Vorfall wirft auch Fragen zur Verantwortung und Transparenz von Microsoft auf. Trotz der Marktdominanz des Unternehmens bleibt unklar, warum der ursprüngliche Patch nicht alle Varianten des Angriffs abgedeckt hat. Die Sicherheitslücke und die unzureichende Reaktion darauf machen deutlich, wie wichtig es ist, dass Softwareanbieter proaktive Maßnahmen ergreifen, um die Sicherheit ihrer Produkte zu gewährleisten.

Privatnutzer von Microsoft-Anwendungen müssen sich in der Regel keine Sorge um ihre Daten machen – auch solche, die Office365 oder andere Dienste nutzen, in die SharePoint teils integriert ist. Unternehmen und Behörden müssen jedoch umgehend handeln, um ihre Systeme zu schützen, indem sie auf die neueste Version von SharePoint aktualisieren und ihre Sicherheitsvorkehrungen anpassen.

Microsoft räumt mögliche US-Zugriffe auf EU-Daten ein

In einer öffentlichen Anhörung vor dem französischen Senat im Juni 2025 räumte Anton Carniaux, Justiziar von Microsoft France, ein, dass Microsoft nicht garantieren könne, europäische Nutzerdaten vollständig vor dem Zugriff durch US-Behörden zu schützen. Diese Aussage wurde unter Eid gemacht und widerspricht der bisherigen Kommunikationslinie des Unternehmens, das stets betont hatte, europäische Daten in Europa zu halten und vor Zugriffen von außen zu sichern.

Auslöser der Anhörung war die Frage, ob Daten französischer Behörden, die über die staatliche Einkaufsplattform „Ugap“ Microsoft-Dienste nutzen, auf Anweisung der US-Regierung übermittelt werden könnten – ohne Zustimmung der französischen Behörden. Carniaux verneinte eine solche Garantie und verwies lediglich darauf, dass ein solcher Fall bisher nicht eingetreten sei.

Im weiteren Verlauf der Sitzung erklärte Carniaux, dass Microsoft alle Anfragen von US-Behörden genau prüfe, unrechtmäßige Anfragen ablehne und – wenn rechtlich möglich – die betroffenen Kunden informiere. Nur in sehr spezifischen Ausnahmefällen käme es zu einer Datenweitergabe.

Die Reaktionen auf diese Offenlegung fallen unterschiedlich aus. Einige Fachleute sprechen von einem herben Rückschlag für das Vertrauen in Microsofts europäische Cloud-Pläne und von einem klaren Souveränitätsproblem. Andere vertreten die Ansicht, dass Microsoft im rechtlichen Rahmen agieren muss, denn EU-Tochtergesellschaften von US-Unternehmen unterliegen wie jedes andere EU-Unternehmen dem europäischen Recht und sind bei der Verarbeitung personenbezogener Daten an die DSGVO gebunden.

Insgesamt wird deutlich, dass der Aufbau einer souveränen europäischen Cloud-Infrastruktur unter Beteiligung von US-Konzernen juristisch und politisch äußerst komplex bleibt – mit möglichen Konsequenzen für die künftige Zusammenarbeit im digitalen Raum.

Eilverfahren des OLG Köln zu Art. 9 DSGVO

Das OLG Köln hat in einem Eilverfahren entschieden, dass Meta öffentliche Inhalte von Facebook- und Instagram-Nutzern im Europäischen Wirtschaftsraum zum Training von KI-Modellen verwenden darf. Die Inhalte umfassen etwa öffentliche Profilbilder, Beiträge, Kommentare oder Videos erwachsener Nutzer. Der Antrag gegen diese Datenverarbeitung wurde abgewiesen.

Meta hatte zuvor sein Datenschutzkonzept überarbeitet – inklusive Transparenzmaßnahmen, Widerspruchsrechten und technischer Sicherungen. Das Gericht folgte der Argumentation, dass für die Entwicklung leistungsfähiger KI-Modelle große Datenmengen nötig seien und keine gleichwertige Alternative wie synthetische Daten zur Verfügung stehe. Die Verarbeitung könne deshalb auf berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden.

Kritisch ist jedoch die mögliche Erfassung sensibler Daten nach Art. 9 DSGVO, deren Verarbeitung grundsätzlich verboten ist. Das Gericht stellt klar: Wenn Nutzer solche Daten bewusst öffentlich teilen, greife eine Ausnahmeregelung (Art. 9 Abs. 2 lit. e DSGVO). Auch bei potenziell betroffenen Dritten sei der Schutz nicht automatisch aktiv, sofern die Verarbeitung nicht gezielt auf sensible Inhalte ausgerichtet ist.

Das Urteil verdeutlicht die Spannungen zwischen Datenschutz und technologischem Fortschritt. Es stützt die Position, dass Datenschutz flexibel ausgelegt werden kann, um europäische KI-Entwicklung zu ermöglichen – eine Haltung, die möglicherweise Einfluss auf künftige Entscheidungen auf europäischer Ebene haben wird.