Datenschutz und Informationsfreiheit: Bericht der BfDI für das Jahr 2024
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, blickt anlässlich der Vorstellung ihres 33. Tätigkeitsberichts am 10.04.2025 auf die aktuellen Herausforderungen für einen ermöglichenden Datenschutz und verteidigt die Informationsfreiheit.
Im Mittelpunkt der neuen Strategie steht der frühzeitige Dialog mit allen Beteiligten. Ihre Amtszeit ist eine Einladung zum Dialog an jeden, der Datenschutzrecht einhalten will. Das gelte auch für die Informationsfreiheit, die gestärkt werden sollte.
Die BfDI sieht beim Thema digitale Gesundheit deutliche Erfolge im vergangenen Jahr. Beim bundesweiten Rollout der elektronischen Patientenakte (ePA) steht die Bundesbeauftragte für Transparenz und Wahlfreiheit. Sie konnte bereits erreichen, dass Versicherte ihren Widerspruch über sämtliche Kommunikationskanäle einreichen können und die Krankenkassen ihre Informationspflichten erfüllen. Beim Forschungsdatenzentrum konnte die BfDI darauf hinwirken, dass die Grundsätze der Vertraulichkeit und der Datenminimierung gewahrt werden.
Im vergangenen Jahr wurde die europäischen KI-Verordnung verabschiedet. Die BfDI hat den Prozess konstruktiv begleitet. Eine Herausforderung für das kommende Jahr besteht darin, das Zusammenspiel von KI-Verordnung und Datenschutzrecht zu orchestrieren. Ihr Ziel sei es, ein grundrechtskonformes KI-Training und -Entwicklung in Europa zu ermöglichen.
Alle, die sich an europäisches Recht halten wollen, sollen die notwendige Beratung bekommen, um KI-Projekte zu verwirklichen. Das europäische Datenschutzrecht stehe dem nicht entgegen. Sie stellte ihre Auslegung der aktuellen Rechtslage klar: Eine KI, die rechtswidrig mit Daten trainiert wurde, kann unter bestimmten Voraussetzungen rechtskonform genutzt werden. Der Anwender ist nicht automatisch verantwortlich für die Trainingsphase.
Das erhöhte Bewusstsein für das Thema Datenschutz insgesamt lässt sich auch an der Statistik der Datenschutzbehörde ablesen: Mit 8.670 Beschwerden bei der BfDI gab es über alle Themenbereiche hinweg einen Zuwachs im Vergleich zum Jahr 2023 (7.782 Beschwerden). Kontrollen sowie Beratungs- und Informationsbesuche bei beaufsichtigten Stellen konnten auf einem gleichbleibend hohen Niveau realisiert, das Beratungsangebot ausgebaut werden.
Den 33. Tätigkeitsbericht der BfDI können Sie als PDF-Datei herunterladen.
(Quelle: PM 3/2025 der BfDI vom 10.04.2025)
BfDI verhängt Geldbußen gegen Vodafone in Höhe von 45 Mio. €
Die BfDI hat der Vodafone GmbH zwei Geldbußen in einer Gesamthöhe von 45 Mio. € auferlegt. Durch böswillig handelnde Mitarbeitende in Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermitteln, war es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen.
Unzureichende datenschutzrechtliche Überwachung von Partneragenturen
Eine Geldbuße in Höhe von 15 Mio. € erging, weil die Vodafone GmbH für sie tätige Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft und überwacht hatte (Art. 28 Abs. 1 S. 1 DSGVO).
Verwarnung aufgrund Verstoßes gegen Art. 32 Abs. 1 DSGVO
Darüber hinaus hat die BfDI die Vodafone GmbH aufgrund eines Verstoßes gegen Art. 32 Abs. 1 DSGVO wegen festgestellter Schwachstellen in bestimmten Vertriebssystemen verwarnt.
Sicherheitsmängel beim Authentifizierungsprozess
Eine weitere Geldbuße in Höhe von 30 Mio. € wurde wegen Sicherheitsmängeln beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone Hotline verhängt. Die aufgedeckten Schwachstellen der Authentifizierung ermöglichten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte.
Konsequenzen bei Vodafone GmbH
Vodafone hat ihre Prozesse und Systeme inzwischen verbessert und teilweise sogar vollständig ersetzt, um solche Gefahren künftig auszuschließen. Außerdem hat sie die Prozesse zur Auswahl und Auditierung von Partneragenturen überarbeitet und sich von Partnern getrennt, bei denen Betrugsfälle festgestellt wurden. Die BfDI wird die praktische Wirksamkeit der von Vodafone ergriffenen Maßnahmen in einer Folgekontrolle überprüfen.
Die Geldbußen wurden akzeptiert und schon vollständig an die Bundeskasse gezahlt.
Erfahrungen der Datenschutzbehörden
Die Erfahrungen der Datenschutzbehörden zeigen, dass bei Unternehmen in vielen Branchen ein Investitionsstau bei der Modernisierung und Konsolidierung von IT-Systemen besteht. Bei der Sicherheit wird daher teilweise gespart. Auch der Einsatz von Auftragsverarbeitern wird in der Praxis häufig nicht ausreichend kontrolliert. Neue technische Möglichkeiten und komplexere Bedrohungsszenarien führen zu erhöhten Risiken für Kunden, denen durch fehlenden Datenschutz Schäden entstehen können. Im Falle der Vodafone GmbH hat das Unternehmen umgesteuert und Projekte der IT-Konsolidierung sowie IT-Modernisierung priorisiert, die Bereiche Compliance und Datenschutz wurden gestärkt. So hat sich Vodafone zu einem starken Datenschutz und digitalen Grundrechten bekannt und sieht sie als Grundlage für das Vertrauen der Kunden. Als Bekenntnis zur Bedeutung des Datenschutzes hat die Vodafone GmbH zudem eine Gesamtsumme in Höhe von mehreren Millionen Euro an unterschiedliche Organisationen gespendet.
(Quelle: PM 6/2025 der BfDI vom 03.06.2025)
Praxistipps der AGAD Service GmbH:
Das Bußgeldverfahren gegen die Vodafone GmbH sollte zum Anlass genommen werden, um die Zusammenarbeit mit Auftragsverarbeitern nach Art. 28 DSGVO zu prüfen.
Die beauftragten Unternehmen müssen mit den erforderlichen AV-Verträgen ausgestattet sein.
Unternehmen sollten regelmäßig die eigenen Authentifizierungsprozesse testen, überprüfen und gegebenenfalls anpassen.
(Daten-)Sicherheitstechnische Lösungen sollten proaktiv und zeitnah in den Unternehmen eingeführt werden.
Aktuelles zur Umsetzung der NIS-2-Richtlinie (EU) in Deutschland
Die NIS-2-Richtlinie der EU ist - u.a. bedingt durch das vorzeitige Ende der Ampelkoalition und die erfolgten Neuwahlen - in Deutschland noch nicht in bindendes Recht umgesetzt worden. Die EU-Kommission hat deshalb ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet.
Mit Stand vom 26.05.2025 ist nun ein neuer Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung erschienen. Dieser sieht vor, dass auch eine Änderung der BSI-Kritisverordnung vorgenommen wird. Insbesondere soll mit den „Digitalen Energiediensten“ eine neue Kategorie „Kritischer Anlagen“ geschaffen werden. Eine Änderung der bisherigen anlagenspezifischen Schwellenwerte der BIS-Kritisverordnung soll dagegen nicht erfolgen. Im Übrigen enthält der neue Refentenentwurf im Vergleich zu vorhergehenden Versionen keine maßgeblichen Änderungen für den nichtöffentlichen Bereich.
Der genaue Zeitpunkt, wann das NIS-2UmsuCG in Kraft treten soll, ist weiterhin nicht bekannt. Allerdings ist mit einer kurzfristigen Umsetzung zu rechnen, weshalb betroffene Unternehmen die weitere Entwicklung kurzfristig im Auge behalten sollten.
Empfehlungen zur Verbesserung der E-Mail-Sicherheit in Unternehmen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Cyber-Sicherheitsempfehlung Upgrade für die E-Mail-Sicherheit veröffentlicht. Diese richtet sich an alle Unternehmen, die E-Mails mit einer eigenen Domain senden und empfangen.
Handlungsempfehlungen für moderne E-Mail-Infrastrukturen in Unternehmen
Anhand von konkreten Beispielen aus der Praxis, wie Microsoft Exchange Online und Google Workspace mit Gmail, wird gezeigt, wie die Cyber-Sicherheit der E-Mail-Kommunikation mit Kundinnen und Kunden sowie anderen Unternehmen oder Dritten verbessert werden kann. Oft sind hierzu nur wenige Schritte, wie die Anpassung der Konfiguration der vom Unternehmen eingesetzten Groupware oder eine sorgfältigere Umsetzung der Standards SPF, DKIM und DMARC, erforderlich.
Die in dem Dokument enthaltenen Empfehlungen beruhen auf Messungen von Sicherheitseigenschaften der E-Mail-Infrastruktur in Deutschland, die das BSI in den vergangenen Monaten durchgeführt hat. Darüber hinaus liegen den Empfehlungen Erkenntnisse aus der nationalen und internationalen Gremienarbeit sowie Zusammenarbeit mit Verbänden zu Grunde. Auf einen Blick können Unternehmen so erfahren, mit welchen Schritten sie die Sicherheit ihrer E-Mail-Kommunikation in Zukunft verbessern können. Es sind weitere Messungen seitens des BSI geplant, um fortlaufend zielgerichtete Empfehlungen aussprechen und verfeinern zu können.
Praxistipp
Falls in Ihrem Unternehmen kein eigenes Personal für die IT-Administration beschäftigt ist, bitten Sie Ihren IT-Dienstleister um die Umsetzung der in dem Update genannten Maßnahmen.
(Quelle: PM, BSI vom 26.05.2025)
Erhebung der Anrede bei Online-Kauf von Zugticket nicht erforderlich
Wer ein Zugticket kauft, muss nach dem Urteil des EuGH vom 09.01.2025 (C-394/23) künftig nicht mehr angeben, ob eine Anrede als "Herr" oder "Frau" erfolgen soll. Die Geschlechtsidentität des Kunden sei keine Information, die für den Erwerb eines Fahrscheins erforderlich ist.
Hintergrund ist eine Klage aus Frankreich. Der Verband Mousse, der sich gegen sexuelle Diskriminierung einsetzt, beanstandete, dass die französische Bahn SNCF Kundinnen und Kunden beim Onlineerwerb von Fahrscheinen systematisch verpflichtet, ihre Anrede anzugeben. Das verstoße gegen die DS-GVO. Es ist zu prüfen, ob im Onlineshop neutrale Anredeauswahl gegeben ist (z.B. männlich, weiblich, divers). Diese Prüfung sollte auch für Bewerbungsmasken und Kontaktformulare auf der Homepage durchgeführt werden.
Praxistipp
Unternehmen müssten nun sorgfältig überlegen, ob die Daten für die Vertragsdurchführung unerlässlich und daher verpflichtend seien – "tatsächlich dürfte dies nur selten der Fall sein". In allen anderen Konstellationen muss die Angabe deutlich als freiwillig gekennzeichnet, das berechtigte Interesse an der Verarbeitung in den Datenschutzhinweisen klar benannt und die Verarbeitung für den benannten Zweck auch unbedingt erforderlich sein.
BAG öffnet den Weg zur digitalen Gehaltsabrechnung
Arbeitgeber dürfen ihren Arbeitnehmern die Gehaltsabrechnung als elektronisches Dokument in einem passwortgeschützten digitalen Mitarbeiterpostfach zur Verfügung stellen. Berechtigte Interessen der Mitarbeiter sind dabei zu berücksichtigen. Dies hat das BAG mit seinem Urteil v. 28.1.2025 (9 AZR 487/24) klargestellt.
Eine digital zum Download bereitgestellte Gehaltsabrechnung wird dem Textformerfordernis gerecht und dem Mitarbeiter so auch hinreichend zur Verfügung gestellt.
Im entschiedenen Fall stellte das Unternehmen Mitarbeitern ein digitales Postfach zur Verfügung. Darüber werden sämtliche Personaldokumente, u.a. die Gehaltsabrechnung, für die Mitarbeiter bereitgestellt.
Verkäuferin hatte ihren Arbeitgeber arbeitsgerichtlich auf Erstellung ihrer Gehaltsabrechnungen in Papierform verklagt.
Praxistipp:
Die Einführung einer digitalen Gehaltsabrechnung ist grundsätzlich zulässig. Mitarbeitern ist die Einsichtnahme und ein Ausdruck ihrer Gehaltsabrechnung im Betrieb in Papierform zu ermöglichen, wenn diese in ihrem Privathaushalt nicht über die Möglichkeit eines Online-Zugriffs verfügen.
Datenlöschung ist Jahresthema in Europa und bei der AGAD Service GmbH
Am 08.07.2025 stellt die AGAD Service GmbH das Thema im Rahmen des Datenschutz zum Feierabend vor.Bußgelder lassen sich durch nachvollziehbare Löschkonzepte in Unternehmen vermeiden.
Digitale Dokumente und Papierakten, die personenbezogene Daten enthalten, dürfen nach der DSGVO nur so lange aufbewahrt werden, wie es erforderlich ist. Mindestens einmal im Jahr ist es deshalb Zeit, sich einen Überblick zu verschaffen, was noch gespeichert ist und ob diese Daten oder Akten länger benötigt werden. Professionelle Datenverarbeiter erledigen dies automatisiert. Wo keine automatischen Routinen etabliert sind, muss händisch gelöscht werden. Dabei sollten Unternehmen und Behörden unbedingt prüfen, ob ihre Löschroutinen bereits die ab 2025 geltenden neuen gesetzlichen Aufbewahrungsfristen berücksichtigen.
Für viele Dokumente gibt es gesetzlich festgelegte Mindestspeicherfristen. Diese ergeben sich zumeist aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB) mit einem abgestuften System aus sechs, acht und zehn Jahren. Je nach Datenart und Geschäftszweig kommen teilweise spezielle Fristen hinzu. Wenn die Speicherfristen abgelaufen sind, müssen die Daten in der Regel unverzüglich gelöscht werden. Das Datenschutzrecht verlangt jedoch keine sofortige Löschung in der Silvesternacht – je nach Komplexität des Systems kann der Prozess einige Wochen bis Monate dauern. Wichtig ist, dass er zum Jahresbeginn direkt eingeläutet wird. Bis zum Frühlingsbeginn sollte die jährliche Löschung abgeschlossen sein.
Neue Fristen ab 2025
Dieses Jahr ist besondere Aufmerksamkeit geboten, da der Bundesgesetzgeber einige Aufbewahrungsfristen verkürzt hat, sodass auch die betroffenen Daten früher gelöscht werden müssen. Mit dem Vierten Bürokratieentlastungsgesetz sind die AO und das HGB angepasst worden. Die in der Praxis wichtigste Fallgruppe der Belege zu Buchungen muss jetzt acht Jahre anstelle der bisherigen zehn aufbewahrt und danach gelöscht werden. Für andere Dokumentenarten wie zum Beispiel Handelsbücher und Jahresabschlüsse bleibt es bei der Frist von zehn Jahren. Diese Gesetzesänderungen haben zur Folge, dass deutlich mehr Datenfelder bereinigt und die Löschkonzepte angepasst werden müssen.
Interne Löschkonzepte
Auch personenbezogene Daten, für die es keine gesetzliche Aufbewahrungsfrist gibt, müssen gelöscht werden, wenn sie nicht mehr benötigt werden. Hier sind Unternehmen verpflichtet, sich einen Überblick zu verschaffen, wie lange diese Daten typischerweise Verwendung finden. In einem Löschkonzept sind dann eigenständige Löschfristen zu entwickeln, zu dokumentieren und intern umzusetzen. Die Länge der Fristen kann dabei, je nach Datenart und Geschäftszweig, stark variieren. Hilfestellung bei der internen Entscheidung geben in der Regel die jeweiligen Branchenverbände. Es kann auch sinnvoll sein, sich an zivilrechtlichen Verjährungsfristen zu orientieren. Für die Löschung datenschutzrechtlicher Dokumentationen zum Beispiel zur Beantwortung eines Auskunftsantrags bietet es sich an, sich an der dreijährigen Verjährungsfrist für Ordnungswidrigkeiten zu orientieren.
Dem HmbBfDI ist vor allem wichtig, dass Unternehmen sich ein nachvollziehbares Löschkonzept gegeben haben und die daran anschließende Löschung auch tatsächlich funktioniert. Wie lange die im Konzept verankerten Fristen sind, kann das jeweilige Unternehmen am besten einschätzen. Die Aufsichtsbehörde stellt dabei keine Zeitspannen in Frage, die auf unternehmerischer Erfahrung basierend plausibel begründet werden, solange sie nicht exzessiv ausgedehnt werden.
Behördliche Durchsetzung – Bußgelder wegen unzureichender Datenlöschung
Die konzeptionelle und faktische Umsetzung des Löschgebots ist ein Schwerpunktthema des HmbBfDI. Bei Routinekontrollen der Datenhaltung in Unternehmen wird regelhaft nach Aufbewahrungsfristen und Löschprozessen gefragt.
Im Herbst 2024 hatte der HmbBfDI beispielsweise die entsprechende Praxis bei Dienstleistern des Forderungsmanagements überprüft. In dem Zusammenhang hat er gegen ein Unternehmen ein Bußgeld in Höhe von 900.000 Euro wegen unzureichender Datenlöschung verhängt. In einem weiteren Fall der Branche hat er ein Bußgeldverfahren eröffnet, das derzeit noch läuft. Das Thema Datenlöschung ist auch europaweit in den Fokus gerückt als Jahresthema des Coordinated Enforcement Framework der Mitglieder des Europäischen Datenschutzausschusses.
(Quelle: HmbBfDI, PM vom 19.03.2025)
Praxistipp:
Legen Sie (mindestens) einen Termin im Jahr fest, in dem Sie sich mit den gespeicherten Datensätzen in Ihrem Unternehmen beschäftigen, um mögliche Löschfristen zu berücksichtigen. Wie ein Löschkonzept entwickelt werden kann und welche Aufbewahrungs- und Löschfristen wichtig sind, erfahren Sie bei unserem Expertenteam der AGAD Service GmbH.
Nutzen Sie den Überblick, den Sie am 08.07.2025 im Rahmen unseres Datenschutz zum Feierabend erhalten.
Zurück
