Datenschutz-Newsletter Dezember 2025

18.12.2025, 14:45 Uhr

Bericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft 365

Im November 2025 hat Hessen als erstes Bundesland die Nutzung von Microsoft 365 (M365) in Behörden und öffentlichen Einrichtungen unter strengen Auflagen genehmigt. Der hessische Datenschutzbeauftragte, Alexander Roßnagel, stellt fest, dass der überarbeitete Vertrag mit Microsoft eine datenschutzkonforme Nutzung von M365 ermöglicht, vorausgesetzt, die Behörden erfüllen ihre datenschutzrechtlichen Pflichten und setzen die neuen, verbesserten vertraglichen und technischen Rahmenbedingungen korrekt um.

Die Genehmigung folgt auf eine 2022 formulierte Kritik der Datenschutzkonferenz, die M365 als datenschutzrechtlich problematisch ansah, insbesondere aufgrund der unzulässigen Übermittlung personenbezogener Daten in die USA. Microsoft hat jedoch seitdem nachgebessert und verschiedene Änderungen vorgenommen. So wurde etwa die EU-Datengrenze eingeführt, um sicherzustellen, dass Kundendaten innerhalb der EU und der Europäischen Freihandelszone verarbeitet werden. Zudem hat Microsoft Dokumentationshilfen bereitgestellt, die den Behörden bei der datenschutzrechtlichen Dokumentation helfen sollen.

Der Hessische Datenschutzbeauftragte stellt fest, dass die datenschutzrechtlichen Rahmenbedingungen nun den Anforderungen entsprechen, insbesondere in Bezug auf die festgelegte Verarbeitung von Daten, die Weisungsgebundenheit von Microsoft und die Sicherstellung einer besseren Transparenz bei Datenübermittlungen. Zudem hat Microsoft Maßnahmen zur Löschung und Rückgabe von Daten verbessert und bietet detaillierte Informationen zu Unterauftragsverarbeitern.

Obwohl Microsoft die vertraglichen und technischen Bedingungen geändert hat, bleibt die Verantwortung für den datenschutzkonformen Einsatz bei den jeweiligen Behörden. Sie müssen die Nutzung von M365 sorgfältig prüfen, sicherstellen, dass die vertraglichen Dokumentationen und Löschprozesse eingehalten werden, und regelmäßig ihre technischen und organisatorischen Maßnahmen evaluieren.

Die Entscheidung Hessens könnte Modellcharakter für andere Bundesländer haben, wobei bereits Überlegungen in Bayern bestehen, M365 ebenfalls flächendeckend einzuführen. Im Gegensatz dazu hat Schleswig-Holstein den Umstieg auf Open-Source-Software vollzogen, was die anhaltende Diskussion um digitale Souveränität und den Umgang mit großen US-amerikanischen Softwareanbietern zeigt.

Abschaltung der Plattform zur Online-Streitbeilegung

Mit der Verordnung (EU) 2024/3228 wurde die bisher geltende ODR-Verordnung (EU) 524/2013 aufgehoben. Damit entfällt die Pflicht für Unternehmen, auf ihren Webseiten auf die EU-Plattform zur Online-Streitbeilegung (OS-Plattform) hinzuweisen.

Seit dem 09.01.2016 mussten Unternehmer, die Waren oder Dienstleistungen online an Verbraucher verkaufen oder erbringen, einen Hinweis samt Link zur OS-Plattform bereitstellen. Diese Plattform wurde aufgrund sehr geringer Nutzung zum 20.07.2025 endgültig abgeschaltet. Bereits seit dem 20.03.2025 können dort keine neuen Beschwerden mehr eingereicht werden; alle gespeicherten Daten wurden zum Abschalttermin gelöscht.

Unternehmen mit eigener Webseite sollten daher sämtliche Hinweise auf die OS-Plattform entfernen, sofern noch nicht geschehen. Dies betrifft insbesondere das Impressum, die AGB sowie Einträge auf Online-Plattformen oder in Branchenverzeichnissen. Ein fortbestehender Hinweis kann als irreführend gelten und Abmahnungen nach sich ziehen.

Unabhängig davon bleiben die Informationspflichten nach dem Verbraucherstreitbeilegungsgesetz (VSBG) bestehen. Unternehmen, die Verbraucher als Kunden haben und über eine Webseite und/oder AGB verfügen, müssen nach § 36 VSBG darüber informieren, ob sie bereit oder verpflichtet sind, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen. Besteht eine Teilnahmebereitschaft oder -pflicht, ist die zuständige Schlichtungsstelle zu benennen. Andernfalls ist ausdrücklich auf die Nichtteilnahme hinzuweisen. Die Information muss leicht zugänglich, klar und verständlich sein, etwa im Impressum.

Von dieser Informationspflicht ausgenommen sind Unternehmen mit bis zu zehn Beschäftigten (Stichtag: 31.12. des Vorjahres).

Sprechen Sie uns an, wenn wir Ihre Webseite und/oder AGB in dieser Hinsicht prüfen sollen.

Überblick zur Wirtschafts-Identifikationsnummer (W-IdNr.) für Unternehmen

Seit November 2024 haben Unternehmen in Deutschland automatisch vom Bundeszentralamt für Steuern (BZSt) eine Wirtschafts-Identifikationsnummer (W-IdNr.) erhalten, die eine eindeutige Identifikation im Besteuerungsverfahren ermöglicht. Die Nummer dient der effizienten Übermittlung von Unternehmensdaten an Finanzbehörden und soll langfristig die Kommunikation zwischen Unternehmen und staatlichen Stellen vereinfachen und den bürokratischen Aufwand verringern. Sie ergänzt bestehende Nummern wie die Steuernummer und die Umsatzsteuer-Identifikationsnummer (USt-IdNr.), ersetzt diese jedoch nicht. Die W-IdNr. wird dauerhaft zugewiesen und bleibt auch bei Änderungen wie der Rechtsform oder Adresse eines Unternehmens bestehen. Neugründungen und bestehende Unternehmen erhalten die W-IdNr. automatisch, ohne dass ein Antrag erforderlich ist.

Eine wichtige Neuerung war, dass Unternehmen die W-IdNr. künftig im Impressum ihrer Website angeben müssen, um den Anforderungen des Digitalen-Dienste-Gesetzes (DDG) gerecht zu werden. Diese Maßnahme soll die Transparenz fördern und den Datenaustausch mit Behörden erleichtern, besonders für Unternehmen, die im internationalen Handel tätig sind.

Zusätzlich zur W-IdNr. müssen Unternehmen auch weitere Pflichtangaben im Impressum machen, wie den Namen, die Adresse, die Handelsregisterangaben und die USt-IdNr. Bei Unternehmen, die bereits eine USt-IdNr. besitzen, ist die Angabe der W-IdNr. im Impressum zwar nicht verpflichtend, sie kann jedoch freiwillig hinzugefügt werden. Wichtig ist, dass diese Angaben leicht zugänglich sind, unabhängig vom Endgerät und ohne unnötige Barrieren. Die Platzierung des Impressums, z. B. im Footer der Website, ist weiterhin zulässig, solange der Link deutlich sichtbar und innerhalb von maximal zwei Klicks erreichbar ist.

Die Einführung der W-IdNr. war ein Schritt zur Vereinfachung und Digitalisierung der Verwaltungsprozesse und soll insbesondere den internationalen Handel und die Kommunikation mit den Behörden effizienter gestalten. Unternehmen müssen sicherstellen, dass ihre Websites die Anforderungen erfüllen, um rechtlich auf der sicheren Seite zu bleiben.

Überprüfen Sie in jedem Fall, ob Sie die aktuellen Vorgaben einhalten. Gerne unterstützen wir Sie hierbei bzw. übernehmen für Sie auch die vollständige Prüfung Ihres Impressums und/oder Ihrer Datenschutzhinweise inkl. des Cookie-Consent-Tools.

Der Omnibus-Verordnungsentwurf der EU-Kommission

Der IAPP Europe Data Protection Congress in Brüssel 2025 war maßgeblich von der EU-Kommission und ihrem neuen Entwurf für die sogenannte „Omnibus-Verordnung“ geprägt, die bedeutende Änderungen an der Datenschutz-Grundverordnung (DSGVO) sowie anderen digitalen Gesetzen wie dem Data Act und der KI-Verordnung mit sich bringt. Diese Änderungen waren lange undenkbar, da die DSGVO weltweit als Modell galt, aber die weltpolitische Lage und Druck aus der internationalen Gemeinschaft haben die EU dazu veranlasst, ihren Kurs zu ändern. Insbesondere die USA üben zunehmend Kritik an der DSGVO als übermäßiger Regulierung, was den politischen Druck verstärkt hat. Der Entwurf zielt darauf ab, die europäische digitale Landschaft zu vereinfachen und zu beschleunigen, was sich auch in der Gesetzgebung widerspiegelt.

Wesentliche Änderungen umfassen die Anpassung der Definition von personenbezogenen Daten, die Erleichterung der Informationspflichten und die Klarstellung der Zulässigkeit automatisierter Entscheidungen unter bestimmten Bedingungen. Auch die Meldepflichten bei Datenschutzverletzungen würden vereinfacht, und für das Setzen von Cookies sollen zusätzlich zu Einwilligungen auch berechtigte Interessen als Rechtsgrundlage gelten. Zudem wird der Betrieb von KI-Modellen und deren Training ausdrücklich als berechtigtes Interesse anerkannt. Die Regelungen sollen langfristig die Datenverarbeitung flexibler und effizienter gestalten, werfen jedoch auch Fragen zur tatsächlichen Vereinfachung auf, da viele Details weiterhin im Einzelfall geklärt werden müssen.

Der Entwurf hat gemischte Reaktionen ausgelöst. Einige Experten, wie die Vorsitzende der Europäischen Datenschutzbehörde (EDSA), Anu Talus, äußerten Bedenken hinsichtlich der Auswirkungen auf die Grundprinzipien des Datenschutzes. Andere, wie der Europaabgeordnete Michael McNamara, kritisierten den Entwurf als Deregulierung und nicht als echte Vereinfachung. Einige befürchten, dass die neuen Regelungen die europäische digitale Souveränität gefährden könnten. Es gibt jedoch auch Stimmen, die den Entwurf als zu zögerlich ansehen und für eine schnellere Umsetzung plädieren, um den digitalen Herausforderungen gerecht zu werden.

Kommt eine umfassende Vorratsdatenspeicherung bis 2026?

Die Vorratsdatenspeicherung ist in der Europäischen Union erneut ein zentrales Thema der politischen Diskussion, da einige Mitgliedstaaten eine Ausweitung der Datenspeicherung fordern. In einem Dokument der dänischen Ratspräsidentschaft, das im November 2025 vorgestellt wurde, drängen mehrere EU-Staaten darauf, Kommunikationsmetadaten für mindestens ein Jahr zu speichern, mit der Möglichkeit, dies in bestimmten Fällen auch länger zu tun. Diese Daten sollen insbesondere IP-Adressen, Portnummern und Positionierungsdaten umfassen. Die Länder argumentieren, dass eine solche Vorratsdatenspeicherung nötig sei, um die Arbeit der Strafverfolgungsbehörden zu unterstützen, beispielsweise zur Aufklärung von Verbrechen oder zum Auffinden vermisster Personen. Ein besonderer Fokus liegt auf der Speicherung von Metadaten von sogenannten Over-the-Top-Diensten (OTT-Diensten) wie WhatsApp, Signal, Telegram und Threema, obwohl deren Inhalte nicht erfasst werden sollen.

Die EU-Kommission plant, im Jahr 2026 einen umfassenden Gesetzesentwurf zur Vorratsdatenspeicherung vorzulegen, der diese Forderungen aufgreifen könnte. Einige EU-Staaten betonen, dass eine solche Maßnahme notwendig sei, um Ermittlungen auch im digitalen Raum zu ermöglichen und den Behörden zu helfen, Täter durch die Analyse von Kommunikationsbeziehungen zu identifizieren. Weitere Argumente, die die Staaten anführen, betreffen den Missbrauch von Technologien wie VPN-Diensten, durch die Kriminelle ihre Identität verschleiern könnten. Die dänische Ratspräsidentschaft hat jedoch auch Bedenken geäußert, dass eine solche gesetzliche Regelung möglicherweise rechtliche Hürden aufwirft, vor allem in Hinblick auf die Vereinbarkeit mit den Grundrechten und die Herausforderungen bei der praktischen Umsetzung. In Deutschland ist das Thema ebenfalls auf der politischen Agenda, da die Bundesregierung an einem Entwurf zur Vorratsdatenspeicherung arbeitet. Laut Koalitionsvertrag soll eine Speicherpflicht für IP-Adressen und Portnummern eingeführt werden, unabhängig von den geplanten EU-Vorhaben. Allerdings gibt es bislang noch keine konkrete Gesetzesvorlage. Die Diskussion zur Vorratsdatenspeicherung in Europa und Deutschland ist von Spannungen zwischen den Sicherheitsinteressen der Staaten und den Bedenken hinsichtlich der Bürgerrechte geprägt. Während einige die Speicherung als notwendig für die öffentliche Sicherheit ansehen, warnen andere vor den weitreichenden Auswirkungen auf die Privatsphäre der Bürger und die rechtlichen Risiken für die Anbieter von Kommunikationsdiensten.