0241-94919-21    |   Folgen Sie uns auf Facebook  
Datenschutz

    Datenschutz

    Daten sind die neue Währung. Social Media, Big Data und Automated PR, Stichwörter hinter denen aus Sicht der Wirtschaft die digitale Wertschöpfung steht. Noch nie wussten Unternehmen so viel über ihre Kunden. Noch nie waren Daten so wertvoll. Ein kontaktloses bezahlen, Einwilligungserklärungen bei Kontaktfo

    Datenschutz

    Daten sind die neue Währung. Social Media, Big Data und algorithmische Personalisierung – Stichwörter, hinter denen aus Sicht der Wirtschaft die digitale Wertschöpfung steht. Noch nie wussten Unternehmen so viel über ihre Kunden. Noch nie waren Daten so wertvoll. Kontaktloses Bezahlen, Einwilligungserklärungen bei Kontaktformularen, Teilnahmebedingungen für Gewinnspiele, Mitmachaktionen und Spendenaktionen – das eine ist ohne Daten nicht möglich, das andere dient der Datengewinnung. Die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung ist Voraussetzung vielfältiger Geschäftsmodelle. Das Datenschutzrecht hat sich seit 2018 grundlegend gewandelt. Es handelt sich heute um ein vielschichtiges Normengefüge aus europäischem und nationalem Recht, das Unternehmen vor umfassende Anforderungen stellt.

    I. Das zentrale Regelwerk: DSGVO und BDSG

    Maßgebliche Grundlage ist seit dem 25. Mai 2018 die unmittelbar geltende Datenschutz-Grundverordnung (DSGVO), die das nationale Recht in weiten Teilen überlagert . Das Bundesdatenschutzgesetz (BDSG) gilt ergänzend, soweit die DSGVO nationale Öffnungsklauseln vorsieht oder spezifische Regelungsbereiche – etwa für Beschäftigtendaten (§ 26 BDSG) oder Strafverfolgungsbehörden (§§ 45 ff. BDSG) – nicht vollständig durch die DSGVO abgedeckt sind.

    Jede Verarbeitung personenbezogener Daten setzt nach Art. 6 Abs. 1 DSGVO eine Rechtsgrundlage voraus: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, Schutz lebenswichtiger Interessen, öffentliches Interesse oder berechtigte Interessen des Verantwortlichen (Interessenabwägung) . Diese Erlaubnistatbestände stehen gleichrangig und eigenständig nebeneinander; jeder rechtfertigt die Verarbeitung vollständig und unabhängig von den anderen . Darüber hinaus sind die Grundsätze des Art. 5 DSGVO einzuhalten: Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit . Der Verantwortliche muss die Einhaltung all dieser Grundsätze nachweisen können (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO) . Die frühere Unterscheidung zwischen „Datenvermeidung und Datensparsamkeit" nach altem BDSG-Recht ist durch das modernere Prinzip der Datenminimierung und Zweckbindung der DSGVO ersetzt worden.

    Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden; voreingestellte Ankreuzkästchen oder Untätigkeit des Betroffenen genügen nicht . Pauschale Blankoeinwilligungen ohne Benennung konkreter Verarbeitungszwecke und Datenempfänger sind unwirksam . Besondere Kategorien personenbezogener Daten – etwa Gesundheitsdaten, biometrische Daten oder Daten zur religiösen Überzeugung – unterliegen dem strengen Verarbeitungsverbot des Art. 9 DSGVO mit abschließendem Ausnahmekatalog .

    Anstelle der früheren „Auftragsdatenverarbeitung" gilt nunmehr der Begriff der Auftragsverarbeitung (Art. 28 DSGVO). Die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit richten sich nach Art. 32 DSGVO und müssen dem Risiko der Verarbeitung angemessen sein; hierzu gehören Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle und Verfügbarkeitskontrolle. Das frühere Verfahrensverzeichnis nach § 4e BDSG a.F. ist durch das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ersetzt worden; Vorabkontrollen nach § 4d BDSG a.F. gibt es nicht mehr, an ihre Stelle ist die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO getreten, die bei voraussichtlich hohem Risiko für Betroffene zwingend durchzuführen ist.

    II. Datenschutz bei digitalen Diensten: TDDDG

    Für den Bereich digitaler Dienste und insbesondere für den Einsatz von Cookies und ähnlichen Tracking-Technologien gilt das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, zuletzt geändert am 9. Januar 2026) . Nach § 25 Abs. 1 TDDDG ist die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf dort gespeicherte Informationen nur zulässig, wenn der Endnutzer auf Grundlage klarer und umfassender Informationen eingewilligt hat; die Einwilligung muss den Anforderungen der DSGVO genügen . Ausgenommen sind nach § 25 Abs. 2 TDDDG lediglich technisch unbedingt erforderliche Informationen, also Cookies und Zugriffe, ohne die der konkret gewünschte Dienst nicht erbracht werden kann . Analyse- und Marketing-Cookies, Real-Time-Bidding-Technologien sowie domainübergreifendes Tracking unterfallen grundsätzlich dem Einwilligungserfordernis . § 26 TDDDG schafft zudem einen Rahmen für anerkannte Dienste zur Einwilligungsverwaltung (sog. Personal Information Management Systems, PIMS), die künftig eine standardisierte, nutzerfreundliche Verwaltung von Einwilligungen ermöglichen sollen .

    III. Europäischer Ordnungsrahmen für digitale Dienste: DSA, DMA, Data Act und KI-Verordnung

    Das Datenschutzrecht ist heute eingebettet in einen umfassenden europäischen Ordnungsrahmen für die digitale Wirtschaft:

    Der Digital Services Act (DSA, Verordnung (EU) 2022/2065) gilt seit dem 17. Februar 2024 in vollem Umfang und verpflichtet Anbieter von Vermittlungsdiensten – von Hostingdiensten bis zu sehr großen Online-Plattformen – zu umfassenden Transparenz-, Melde- und Moderationspflichten . DSA und DSGVO gelten dabei nebeneinander und schließen sich nicht gegenseitig aus . Das nationale Ausführungsgesetz ist das Digitale-Dienste-Gesetz (DDG) vom 6. Mai 2024 (zuletzt geändert am 3. Februar 2026) .

    Der Digital Markets Act (DMA, Verordnung (EU) 2022/1925) reguliert sogenannte Torwächter – Betreiber zentraler Plattformdienste mit überragender Marktstellung – und enthält unter anderem Pflichten zur Trennung personenbezogener Daten zwischen verschiedenen Diensten. DMA und DSGVO gelten ebenfalls parallel .

    Der Data Act (Verordnung (EU) 2023/2854, anwendbar ab September 2025) regelt die Zugänge zu und die Nutzung von Daten, die durch vernetzte Produkte und Dienste generiert werden, und schafft Rechte auf Datenzugang und -portabilität für Nutzer und Unternehmen.

    Die KI-Verordnung (Verordnung (EU) 2024/1689, AI Act) gilt stufenweise ab 2024 bis 2026 und stellt spezifische Anforderungen an den Einsatz von KI-Systemen – insbesondere an Hochrisiko-KI-Systeme – ohne eigenständige datenschutzrechtliche Erlaubnisnormen zu schaffen: Für das Training von KI-Modellen mit personenbezogenen Daten bleibt die DSGVO maßgeblich; als Rechtsgrundlage kommt insbesondere Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) in Betracht, sofern keine schutzwürdigen Interessen der Betroffenen überwiegen .

    IV. Unsere Leistungen

    Wir beraten Sie in allen Gebieten des Datenschutzes und  über die Einhaltung der Pflichten aus DSA und DDG sowie – soweit einschlägig – aus DMA, Data Act und KI-Verordnung.