Nach dem Urteil ist vor dem Urteil: Im Streit um die Facebook-Fanpage der Bundesregierung geht die Bundesdatenschutzbeauftragte in Berufung. Sie will die Rechtsunsicherheit bei der Nutzung sozialer Medien durch öffentliche Stellen des Bundes beenden, nachdem das VG Köln die Verantwortung für wirksame Cookie-Einwilligungen allein bei Meta sah, obwohl der EuGH bereits in einer anderen Sache eine gemeinsame Verantwortlichkeit von Fanpage-Betreibern und Meta feststellte. Nun muss das Oberverwaltungsgericht Münster entscheiden.

Gerade hatte in Spanien – passend zur Urlaubssaison – die Datenschutzaufsichtsbehörde noch klargestellt, dass Hotels und Ferienwohnungen Ausweisdokumente ihrer Gäste nicht kopieren dürfen. Denn auch wenn Unterkünfte bestimmte Daten ihrer Gäste erheben müssen, geht eine Ausweiskopie zu weit, da sie mehr Daten enthält als erforderlich. Die spanischen Datenschützer regen an, Hotelgäste stattdessen ein Formular vor Ort oder online ausfüllen zu lassen, mit dem nur die gesetzlich erforderlichen Daten abgefragt werden, sowie eine Sichtkontrolle des Ausweises vor Ort durchzuführen, oder eine sichere Online-Verifikation. In Deutschland ist seit Anfang 2025, zumindest für deutsche Staatsangehörige, nicht mal mehr das erforderlich. Das Kopieren eines Ausweisdokuments verstößt ohnehin EU-weit gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Darüber hinaus birgt die Kopie ein unnötiges Risiko für Identitätsdiebstahl, so die spanische Behörde.

Dauerbrenner Cookie-Banner: Das Verwaltungsgericht Hannover hat sich mit dem zweistufigen Banner der Neuen Osnabrücker Zeitung (NOZ) befasst – bis zu einem gewissen Punkt. Dazu gleich mehr.

Besser spät als gar nicht: Egal ob digitales Dokument oder Papierakte – alles, was personenbezogene Daten enthält, darf nach der DSGVO nur so lange aufbewahrt werden wie erforderlich. Daher ist es mindestens einmal im Jahr angebracht, sich einen Überblick zu verschaffen, was noch gespeichert ist und ob diese Daten oder Akten noch länger benötigt werden. Für personenbezogene Daten gibt es keine starren Aufbewahrungsfristen: Diese müssen gelöscht werden, wenn man sie nicht mehr benötigt. Hier sind Unternehmen verpflichtet, sich einen Überblick zu verschaffen, wie lange diese Daten typischerweise Verwendung finden. In einem Löschkonzept sind dann eigenständige Löschfristen zu entwickeln, zu dokumentieren und intern umzusetzen. Die Länge der Fristen kann dabei, je nach Datenart und Geschäftszweig, stark variieren. Für einige Dokumente gibt es gesetzlich festgelegte Speicherfristen. Dieses Jahr gelten dank des Vierten Bürokratieentlastungsgesetzes übrigens verkürzte Fristen, z.B. für Belege zu Buchungen. Die Gesetzesänderung hat zur Folge, dass in diesem Jahr deutlich mehr Datenfelder bereinigt und die Löschkonzepte angepasst werden müssen.

Microsoft 365 haben Datenschutzbeauftragte spätestens seit der Corona-Zeit immer wieder auf dem Schirm – ist es noch DSGVO-konform oder nicht? Der Europäische Datenschutzbeauftragte hatte am 12. Mai 2021 begonnen, zu überprüfen, ob die Verwendung von Microsoft 365 durch die EU-Kommission rechtmäßig ist. Nun ist er zu dem Schluss gekommen, dass die Nutzung gegen zentrale Bestimmungen des Datenschutzrechts verstößt und forderte die Kommission auf, bis zum 9. Dezember 2024 alle Datenflüsse an Microsoft und dessen Unterauftragsverarbeiter (!) auszusetzen.

Schon seit einigen Wochen läuft eine europaweite Kontrollaktion des Europäischen Datenschutz-Ausschusses zum Recht auf Auskunft nach Art. 15 DSGVO. Schwerpunkte in Deutschland sind Schleswig-Holstein, Niedersachsen, Mecklenburg-Vorpommern, Brandenburg, Rheinland-Pfalz, das Saarland, Bayern und die Bundesbehörden. Die Kontrollen werden mithilfe eines strukturierten Fragebogens durchgeführt, der EU-weit koordiniert eingesetzt wird. So soll überprüft werden, wie die Verantwortlichen das Auskunftsrecht in der Praxis umsetzen – er soll aber auch helfen zu evaluieren, wo Unternehmen weitere Hilfestellungen wie Leitlinien oder Sensibilisierungsmaßnahmen benötigen. Die Kontrollaktion ist ein guter Anlass, die internen Prozesse zur Handhabung von Auskunftsersuchen zu überprüfen.

Vielleicht haben Sie es auch schon gesehen, falls Sie mal ein Cookie-Banner genauer gelesen haben: Manchmal steht dort, mit wie vielen (hunderten!) Partnern die von den Usern erhobenen Daten geteilt werden. Statistisch gesehen ist es da wohl nur eine Frage der Zeit, dass Daten in die falschen Hände geraten: So wurde vor einigen Wochen bekannt, dass über 40.000 Apps weltweit Standortdaten an Datenhändler weitergeben, welche die Daten zentral speichern und die daraus gewonnenen Bewegungsprofile weiter verkaufen. Betroffen sind in Deutschland u.a. Focus Online, Kleinanzeigen, Tinder, Grindr, Lovoo, Flightradar24, die E-Mail-Apps von web.de und GMX, WetterOnline und CandyCrush. Manche orten sehr genau per GPS, anderer nur sehr grob auf Stadtteilebene per IP-Adresse. Je nach App konnten so Bewegungsprofile, teilweise mit einer Genauigkeit von weniger als einem Meter, erstellt werden, die Rückschlüsse auf die Identität der Personen, ihren Wohn- und Arbeitsort und ihre Aktivitäten ermöglichen.

Ein Auftragsverarbeiter ist laut Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Der Verantwortliche für den Datenschutz lagert also Teilprozesse, die er sonst selbst vornehmen müsste und bei denen personenbezogene Daten verarbeitet werden, an einen externen Dienstleister aus. Diese gelten zwar nicht als Dritte im Sinne von Art. 4 Nr. 10 DSGVO, sind jedoch i.d.R. Empfänger von Daten (Art. 4 Nr. 9 DSGVO). Deshalb müssen betroffene Personen nach Art. 13 DSGVO stets darauf hingewiesen werden, wenn eine Datenübermittlung an einen Auftragsverarbeiter erfolgt.

Nach Artikel 15 DSGVO haben betroffene Personen ein Recht darauf, vom datenschutzrechtlich Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; wenn ja, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf allerhand Informationen. Streit vor Gericht gab es nun in zwei Fällen darüber, wie diese Auskunft zu erfolgen hat.

Wahrscheinlich haben Sie von Ihrer Krankenkasse auch schon Post erhalten: Anfang 2025 geht die elektronische Patientenakte (ePA) schrittweise an den Start. Die gesetzlichen Krankenkassen müssen sie ihren Versicherten ab dem 15. Januar 2025 (je nach Wohnort auch später) bereitstellen, außer man hat der Einführung widersprochen.

Zum Jahreswechsel werden ja oft Strom-, Wasser- und Heizungszähler abgelesen. Die Datenschutzkonferenz hat nun eine Orientierungshilfe zur Datenverarbeitung im Zusammenhang mit funkbasierten Zählern herausgegeben. Sie bietet einen Überblick über die erfassten Datenkategorien, die relevanten Rechtsgrundlagen sowie die Rechte der betroffenen Personen, sowohl Mieter als auch Vermieter und Hausverwaltungen. Außerdem enthält sie Empfehlungen zur datenschutzkonformen Verarbeitung der Verbrauchsdaten.