Datenschutz-Newsletter Juli 2025

21.07.2025, 10:11 Uhr

Tätigwerden gefordert: Behörden oder Konkurrenten scannen möglicherweise auch Ihre Webseite auf Datenschutzkonformität

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat eine neue Initiative zur automatisierten Prüfung von Websites gestartet. Ziel ist es, Datenschutzverstöße, insbesondere bei der Einbindung von Drittanbieterdiensten wie Google oder YouTube, systematisch aufzudecken. Häufig werden bei solchen Einbindungen personenbezogene Daten – wie IP-Adressen – ohne Einwilligung der Nutzer an Server außerhalb der EU, meist in die USA, übermittelt. Solche Transfers sind ohne gültige Rechtsgrundlage und entsprechende Hinweise im Cookie-Banner oder der Datenschutzerklärung unzulässig und verstoßen gegen die DSGVO und das TDDDG.

Die BfDI hat nun erstmals systematisch Bundeswebseiten dahingehend überprüft und dabei 40 Verstöße durch nicht konforme YouTube-Einbettungen festgestellt. Trotz früherer Hinweise war vielen Verantwortlichen offenbar nicht bewusst, dass sie gegen Datenschutzvorgaben verstoßen. Daher wurden erneut Beratungsschreiben verschickt, um zu sensibilisieren und datenschutzfreundliche Alternativen wie Zwei-Klick-Lösungen oder das Selbsthosting von Videos zu fördern.

Auch private Website-Betreiber sind von dieser Entwicklung betroffen. Die automatisierten Prüfungen zeigen, wie leicht Verstöße entdeckt werden können – nicht nur von Behörden, sondern auch durch Wettbewerber oder Abmahnanwälte. Daher wird dringend empfohlen, Webseiten technisch und rechtlich zu überprüfen, um mögliche Bußgelder zu vermeiden. Die BfDI plant, die digitale Aufsicht weiter auszubauen und auch künftig breitere Prüfungen durchzuführen. Datenschutz bleibt damit eine dauerhafte Aufgabe.

Wenn Sie uns zum Datenschutzbeauftragten bestellt haben, prüfen wir Ihre Website. Sie können uns bei Fragen auch gerne ansprechen.

Neues Beratungsangebot der Bundesnetzagentur: KI-Service Desk

Die Bundesnetzagentur hat mit dem neuen KI-Service Desk ein zentrales Beratungsangebot geschaffen, das insbesondere kleinen und mittleren Unternehmen, Startups sowie Behörden und Organisationen bei der Umsetzung der EU-KI-Verordnung helfen soll. Im Fokus stehen dabei praktische Informationen zu rechtlichen Pflichten, etwa zur Risikoeinstufung von KI-Systemen oder zur Einhaltung von Transparenzanforderungen. Ein zentrales Hilfsmittel ist der „interaktive Compliance Kompass“, mit dem Unternehmen schnell feststellen können, welche Regeln für ihre KI-Anwendungen gelten – je nachdem, ob sie diese entwickeln oder lediglich einsetzen.

Neben allgemeinen Informations- und Schulungsangeboten soll der KI-Service Desk auch dabei helfen, Compliance-Prozesse effizient und rechtssicher zu gestalten. Für Unternehmen ist dies besonders relevant, da die Anforderungen je nach Risikoklasse eines Systems stark variieren können – von leichten Kennzeichnungspflichten bis hin zu strengen Dokumentations- und Überwachungspflichten bei Hochrisiko-KI.

Auf europäischer Ebene plant auch die EU-Kommission einen eigenen „AI Act Service Desk“, der jedoch noch nicht verfügbar ist. Die Bundesnetzagentur geht mit ihrem Angebot also voran und unterstreicht damit ihren Anspruch, künftig eine Schlüsselrolle bei der nationalen Umsetzung der KI-Verordnung zu spielen. Dass der Digitalminister den Service Desk bei der Bundesnetzagentur vorgestellt hat, ist ein deutliches Signal an die Datenschutzbehörden, die ebenfalls Anspruch auf diese Zuständigkeit erhoben hatten.

Spätestens bis zum 2. August 2025 muss Deutschland laut Verordnung eine Marktüberwachungsbehörde benennen. Alles deutet derzeit darauf hin, dass dies die Bundesnetzagentur sein wird – sie bereitet sich bereits aktiv auf diese Rolle vor. Unternehmen sollten sich daher frühzeitig mit den Angeboten des KI-Service Desk vertraut machen und bei Bedarf den Kontakt suchen.

Hier geht es für Sie direkt zu den Angeboten der BNetzA:

KI-Service Desk: Bundesnetzagentur – KI

KI-Compliance-Compass: Bundesnetzagentur – KI Kompass

Neue Orientierungshilfe der Datenschutzkonferenz zum Datenschutz bei KI

Die Datenschutzkonferenz (DSK) hat im Juni 2025 eine neue Orientierungshilfe veröffentlicht, die sich an Entwickler und Hersteller von KI-Systemen richtet. Ziel ist es, konkrete Empfehlungen zu geben, wie technische und organisatorische Maßnahmen (TOM) in KI-Projekten datenschutzkonform umgesetzt werden können. Grundlage bildet das Standard-Datenschutzmodell (SDM), welches die abstrakten Vorgaben der DSGVO in sieben zentrale Schutzziele übersetzt: Datenminimierung, Verfügbarkeit, Vertraulichkeit, Integrität, Intervenierbarkeit, Transparenz und Nichtverkettung.

Die DSK unterteilt ein KI-Projekt in vier Phasen – Design, Entwicklung, Einführung sowie Betrieb und Monitoring – und gibt zu jeder Phase praxisnahe Hinweise zur Umsetzung der Datenschutzanforderungen:

• Designphase: Es muss frühzeitig festgelegt werden, wofür die KI eingesetzt wird, welche Daten benötigt werden und auf welcher Rechtsgrundlage diese erhoben werden. Datenquellen sind sorgfältig zu dokumentieren, ebenso wie spätere Möglichkeiten zur Umsetzung von Betroffenenrechten.
  
• Entwicklungsphase: Es gilt das Prinzip der Datenminimierung. Verarbeitungsschritte müssen dokumentiert, Diskriminierungen geprüft und Schutzmechanismen gegen fehlerhafte oder schädliche Daten implementiert werden. Eine nachträgliche Löschung oder Korrektur muss möglich sein.
  
• Einführungsphase: Vor dem Einsatz des Systems sind datenschutzfreundliche Voreinstellungen entscheidend. Wo Trainingsdaten notwendig sind, sollten diese verschlüsselt und auf das erforderliche Maß beschränkt werden. Auch Protokollierungen und Filter sollen standardmäßig auf Datenschutz ausgerichtet sein.
  
• Betrieb und Monitoring: Während des laufenden Betriebs muss die Funktion des Systems überwacht werden. Es muss auf Änderungen oder Fehler reagiert werden können. Rechte von Betroffenen müssen dauerhaft technisch umsetzbar bleiben. Angriffe, die Trainingsdaten aus dem Modell rekonstruieren wollen, sind durch geeignete Schutzmaßnahmen abzusichern.

Insgesamt betont die Orientierungshilfe, dass Datenschutz integraler Bestandteil jedes KI-Projekts sein sollte – nicht nur zur Einhaltung gesetzlicher Pflichten, sondern auch zur Stärkung des Vertrauens von Nutzern und Kunden. Wer frühzeitig datenschutzkonform plant und transparent dokumentiert, kann Risiken minimieren und nachhaltige KI-Lösungen schaffen.

Urteil des OLG München: Datenschutzverstoß zieht arbeitsrechtliche Konsequenzen nach sich

Das Urteil des Oberlandesgerichts München verdeutlicht, welche arbeitsrechtlichen Konsequenzen Datenschutzverstöße nach sich ziehen können. In dem konkreten Fall wurde einem leitenden Angestellten fristlos gekündigt, weil er über mehrere Monate hinweg dienstliche E-Mails an seinen privaten Account weitergeleitet hatte. Diese E-Mails enthielten sensible Inhalte wie interne Gehaltsdaten, Bankanfragen oder vertrauliche Planungen. Auch wenn die Informationen laut Kläger nicht an Dritte gelangten, sah das Gericht bereits in der Weiterleitung selbst eine schwerwiegende Pflichtverletzung.

Die Richter stellten fest, dass durch das Verhalten des Klägers personenbezogene Daten ohne Rechtsgrundlage verarbeitet wurden. Es fehlte sowohl an einer Einwilligung als auch an einem berechtigten Interesse. Jede einzelne Weiterleitung wurde als eigenständiger Verstoß gegen die DSGVO gewertet. Auch wenn keine Verletzung der arbeitsvertraglichen Geheimhaltungspflicht im engeren Sinne festgestellt wurde, führte die Vielzahl und der sensible Charakter der weitergeleiteten Daten dazu, dass dem Arbeitgeber eine Fortsetzung des Arbeitsverhältnisses nicht zugemutet werden konnte.

Das Urteil hat weitreichende Bedeutung für die Praxis: Es zeigt, dass auch vermeintlich alltägliche oder unbedachte Datenschutzverstöße schwerwiegende arbeitsrechtliche Folgen haben können – bis hin zur fristlosen Kündigung. Unternehmen und Beschäftigte sind daher gut beraten, dienstliche und private Kommunikation strikt zu trennen und die innerbetrieblichen Datenschutzregeln konsequent zu beachten. Besonders kritisch wird es, wenn die IT-Nutzung für private Zwecke untersagt ist, da bei Verstößen sogar eine Haftung des Arbeitnehmers für etwaige Schäden im Raum stehen kann.

Europäische KRITIS-Unternehmen mithilfe von Sicherheitslücke gehackt

Zwei Sicherheitslücken im Ivanti Endpoint Manager Mobile (EPMM) haben eine Angriffswelle auf kritische Infrastrukturen ausgelöst. Durch die Lösung soll grundsätzlich ein sicherer Zugriff auf Unternehmensressourcen, durch eine zentrale Verwaltung von Mobilgeräten, Anwendungen und Inhalten, ermöglicht werden.

Die Schwachstellen ermöglichten es Angreifern, entweder Schadcode aus der Ferne auszuführen oder ohne Authentifizierung Zugriff auf geschützte Ressourcen zu erhalten. Obwohl Ivanti bereits am 13. Mai 2025 Patches veröffentlicht hat, wurden die Lücken ab dem 15. Mai aktiv ausgenutzt. Besonders gefährdet sind Systeme mit älteren EPMM-Versionen, weshalb eine schnelle Aktualisierung dringend empfohlen wird.

Laut dem niederländischen Sicherheitsunternehmen EclecticIQ steckt die chinesische Hackergruppe UNC5521 hinter den Angriffen. Die Gruppe ist für gezielte Spionageaktionen auf Edge-Netzwerkgeräte bekannt und wird mit der chinesischen Regierung in Verbindung gebracht. Die Angriffe richteten sich vor allem gegen Unternehmen aus dem KRITIS-Sektor, darunter Gesundheitsorganisationen, Telekommunikationsanbieter, Forschungseinrichtungen und Behörden in Europa.

Ziel war dabei insbesondere der Zugriff auf zentrale Betriebsdaten von EPMM. Hierbei konnten unter anderem Seriennummern, Telefonnummer und Standort des Endgeräts sowie SIM-Daten ausgelesen werden. Auch LDAP-Benutzer (Lightweight Directory Access Protocol) sowie Aktualisierungs- und Zugriffstoken für Office 365 seien gefährdet.

Die Vorfälle zeigen, wie entscheidend es ist, Sicherheitsupdates zeitnah einzuspielen und IT-Systeme im KRITIS-Umfeld kontinuierlich abzusichern. Bei Betroffenheit sollten Sie schnellstmöglich eine der gepatchten Versionen, 11.12.0.5, 12.3.0.2, 12.4.0.2 oder 12.5.0.1., installieren.