Datenschutz-Newsletter Mai 2026

06.05.2026, 08:18 Uhr

Einheitliche Standards für Datenschutzfolgenabschätzungen: EDPB-Vorlage bringt Klarheit und Transparenz

Der Europäische Datenschutzausschuss (EDPB) hat am 14. April 2026 einen Vorschlag für ein standardisiertes Template zur Datenschutz-Folgenabschätzung (DSFA bzw. Data Protection Impact Assessment = DPIA) veröffentlicht, um die Verfahren nach Art. 35 der Datenschutz-Grundverordnung (DSGVO) zu vereinheitlichen und zu professionalisieren. Der Entwurf liegt zur öffentlichen Konsultation vor und umfasst folgende Hauptbereiche, die sich an den Schritten des Lebenszyklus einer Verarbeitungstätigkeit orientieren:

• Überblick über die Verarbeitung
• systematische Beschreibung der Verarbeitung
• Analyse der Verarbeitung
• Prüfung von Notwendigkeit und Verhältnismäßigkeit
• Risikobewertung und -management
• Einbindung interessierter Parteien
• Schlussfolgerung und Entscheidung

Zu Beginn wird eine detaillierte Einordnung der beteiligten Rollen, der Verantwortlichkeiten und des rechtlichen Rahmens der Verarbeitung verlangt. Es müssen sowohl interne Organisationseinheiten als auch Auftragsverarbeiter und Subunternehmer benannt werden. Ebenso sind der Start- und Endzeitpunkt der Verarbeitung sowie alle relevanten Referenzdokumente und die Gründe für die Durchführung der DSFA/DPIA zu dokumentieren. Eine detaillierte Beschreibung der zu verarbeitenden Daten und ihrer Zwecke folgt, mit einer klaren Trennung zwischen primären und sekundären Nutzungen. Besonders betont wird die präzise Darstellung des Umfangs und Kontexts der Verarbeitung, einschließlich der eingesetzten Technologien und Datenflüsse.

Für jeden Verarbeitungszweck sind die entsprechenden Rechtsgrundlagen zu benennen, wobei insbesondere für besonders sensible Datenkategorien eine spezifische Begründung erforderlich ist. Darüber hinaus müssen die Prinzipien der Datenminimierung und der Speicherbegrenzung berücksichtigt werden. Das Template verlangt zudem die Darstellung von Maßnahmen, die der Einhaltung der DSGVO dienen, etwa durch Technikgestaltung oder datenschutzfreundliche Voreinstellungen.

Ein weiterer zentraler Bestandteil ist die Risikobewertung, bei der sowohl die Risiken aus der Verarbeitung selbst als auch potenzielle Sicherheitsvorfälle und Fehlfunktionen berücksichtigt werden müssen. Die Bewertung erfolgt anhand von Kriterien wie Eintrittswahrscheinlichkeit und Schwere des Risikos. Auf Grundlage dieser Analyse sind geeignete Maßnahmen zur Risikominderung darzulegen. Der Entwurf fordert zudem eine Prüfung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, wobei Alternativen zu risikobehafteten Verarbeitungen bewertet werden müssen.

Abschließend sieht das Template die Einbindung des Datenschutzbeauftragten und gegebenenfalls die Konsultation der Aufsichtsbehörde vor. Die Entscheidung, ob die Verarbeitung durchgeführt werden kann oder nicht, muss klar dokumentiert werden, was die Transparenz und Nachvollziehbarkeit erhöht.

Die neue Vorlage des EDPB zielt darauf ab, die bisherigen unterschiedlichen nationalen Regelungen zu vereinheitlichen und einen klaren Standard für Datenschutzfolgenabschätzungen zu schaffen. Damit wird eine strukturierte, nachvollziehbare Dokumentation gefördert, die in allen EU-Mitgliedstaaten anerkannt wird. Verantwortliche können ihre bestehenden Verfahren an der neuen Vorlage ausrichten und profitieren so von einer besseren Rechtssicherheit und einer vereinfachten Kommunikation mit den Aufsichtsbehörden, da sie damit nicht nur besser auf Prüfungen durch Aufsichtsbehörden vorbereitet sein werden, sondern auch eine robuste interne Steuerung datenschutzrechtlicher Risiken erreichen können.

Praktische Bedeutung für Unternehmen

Die EDSA-Vorlage dient als Hilfsmittel zur präziseren und strukturierteren Durchführung von Datenschutzfolgenabschätzungen und wird voraussichtlich von allen nationalen Aufsichtsbehörden übernommen werden. Für Unternehmen empfiehlt es sich, ihre Prozesse und Vorlagen mit der EDSA-Vorlage abzugleichen und sich frühzeitig mit den Anforderungen vertraut zu machen. Besonders für grenzüberschreitend tätige Unternehmen ist die Vorlage von großem Vorteil, da sie eine europaweit anerkannte Basis für die Durchführung von DPIAs bietet. Die Vorlage inkl. eines unterstützenden Begleitdokuments finden Sie hier. Bei Fragen oder wenn Sie der Meinung sind, eine DPA zu benötigen, stehen wir wie immer gerne zur Verfügung.

Onlinewerbung und Datenschutz: Unternehmen müssen Betroffenenrechte konsequenter umsetzen

Im Jahr 2025 stieg die Zahl der Beschwerden über unerwünschte Onlinewerbung, insbesondere bei E-Mail-Werbekampagnen, die oft auf durch automatisierte Tools wie Scraping erhobene personenbezogene Daten zurückgreifen. Diese Praxis, bei der Daten aus öffentlich zugänglichen Quellen wie sozialen Netzwerken extrahiert werden, stellt aus datenschutzrechtlicher Sicht ein erhebliches Problem dar, da jede Verarbeitung von personenbezogenen Daten, einschließlich der Erhebung und Speicherung, eine gültige Rechtsgrundlage benötigt. Unternehmen, die solche Methoden einsetzen, erfüllen oft nicht die Informationspflichten nach Art. 13 und 14 DSGVO, was auf ein unzureichendes Unrechtsbewusstsein hinweist.

Ein weiteres zentrales Problem ist die mangelhafte Umsetzung der Betroffenenrechte. Häufig werden Werbewidersprüche nicht oder nicht ordnungsgemäß bearbeitet, sodass betroffene Personen weiterhin unerwünschte Werbung erhalten. Auch Auskunftsersuchen nach Art. 15 DSGVO werden oft verspätet oder unvollständig beantwortet, insbesondere, wenn die Bearbeitung von nicht ausreichend datenschutzrechtlich qualifizierten Mitarbeitern oder der Geschäftsführung kleiner Unternehmen erfolgt. Dies erhöht das Risiko von Beschwerden bei den Aufsichtsbehörden.

Unternehmen, die personalisierte Werbung planen, sollten ihre internen Prozesse zur Bearbeitung von Betroffenenanfragen vorab sorgfältig überprüfen und sicherstellen, dass sie schnell und korrekt auf Anfragen reagieren können. Anfragen sollten an geschulte Mitarbeiter weitergeleitet und innerhalb eines Monats bearbeitet werden. Zudem müssen Auskünfte vollständig und gemäß den Anforderungen der DSGVO erteilt werden. Eine enge Abstimmung mit Datenschutzbeauftragten oder externen Rechtsberatern ist empfehlenswert, um eine rechtssichere Bearbeitung zu gewährleisten.

Die Aufsichtsbehörde, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), hat im Berichtszeitraum 2025 wiederholt Verstöße im Bereich Onlinewerbung festgestellt und auch Bußgelder verhängt. Unternehmen sollten sich der Verantwortung bewusst sein, die mit der Verarbeitung personenbezogener Daten für Werbezwecke verbunden ist, und ihre Prozesse regelmäßig an die Anforderungen der DSGVO anpassen, um Beschwerden und Sanktionen zu vermeiden.

Praktische Bedeutung für Unternehmen

Unternehmen, die Onlinewerbung betreiben und personenbezogene Daten für personalisierte Werbung verwenden, müssen sicherstellen, dass sie die Betroffenenrechte gemäß DSGVO einhalten. Die ordnungsgemäße Bearbeitung von Widersprüchen und Auskunftsersuchen ist unerlässlich, um Datenschutzverstöße zu vermeiden. Insbesondere sollten Unternehmen ihre internen Prozesse zur Bearbeitung von Betroffenenanfragen optimieren und geschultes Personal einsetzen, um datenschutzrechtliche Risiken zu minimieren.

E-Mail-Sicherheit: Gericht präzisiert Anforderungen an Datenschutzmaßnahmen

Mit Urteil vom 2. April 2026 hat das Verwaltungsgericht Düsseldorf klargestellt, dass personenbezogene Daten nicht zwingend mittels Ende-zu-Ende-Verschlüsselung übermittelt werden müssen, sondern in vielen Fällen auch eine Transportverschlüsselung ausreichend ist. Der Fall betraf eine E-Mail-Kommunikation nach einem Verkehrsunfall, bei der der Name einer betroffenen Person an eine Versicherung übermittelt wurde. Der Kläger machte geltend, dass aufgrund seines erhöhten Schutzbedürfnisses die Übermittlung ohne Ende-zu-Ende-Verschlüsselung einen Datenschutzverstoß darstelle. Er verlangte ein Einschreiten der zuständigen Aufsichtsbehörde und strengere technische Schutzmaßnahmen, wofür die Behörde jedoch keinen Anlass sah.

Das Gericht entschied, dass die Wahl der technischen Schutzmaßnahme nicht auf eine bestimmte Lösung festgelegt ist, sondern davon abhängt, ob die Maßnahmen ein angemessenes Schutzniveau gewährleisten. Dabei wird das Schutzniveau risikobasiert bestimmt, was bedeutet, dass nicht immer die technisch aufwendigste Lösung erforderlich ist. Im konkreten Fall hielt das Gericht die eingesetzte Transportverschlüsselung für ausreichend, da nur der Name der betroffenen Person übermittelt wurde und keine besonders sensiblen oder schutzbedürftigen Daten vorlagen.

Wichtig war für das Gericht auch, dass die Entscheidung über den Einsatz von Schutzmaßnahmen im Ermessen der Aufsichtsbehörden liegt. Diese müssen die spezifischen Umstände des Einzelfalls berücksichtigen, und betroffene Personen können nicht pauschal eine bestimmte Maßnahme oder ein Bußgeld verlangen. Das Urteil verdeutlicht somit, dass Datenschutzanforderungen flexibel und risikobasiert angewendet werden sollten.

Für die Praxis bedeutet dies, dass Unternehmen beim Versand personenbezogener Daten per E-Mail die Angemessenheit der eingesetzten Schutzmaßnahmen bewerten müssen. Die Transportverschlüsselung ist in vielen Fällen ausreichend, jedoch können bei sensibleren Daten oder höherem Risiko strengere Sicherheitsmaßnahmen erforderlich sein. Die Frage der erforderlichen E-Mail-Sicherheit wird von den Gerichten jedoch nicht einheitlich beurteilt; etwa verfolgt die Rechtsprechung in Schleswig-Holstein eine tendenziell strengere Auffassung.

Praktische Bedeutung für Unternehmen

Unternehmen, die personenbezogene Daten per E-Mail übermitteln, können sich nun darauf verlassen, dass in vielen Fällen die Transportverschlüsselung als ausreichend betrachtet wird, solange die Daten keine besonders hohen Schutzanforderungen stellen. Die Entscheidung zeigt jedoch, dass Unternehmen stets eine risikobasierte Beurteilung der Datenverarbeitung durchführen und ihre Schutzmaßnahmen entsprechend anpassen sollten.