Derzeit erhalten Unternehmen E-Mails die angeblich von der Industrie- und Handelskammer (IHK) stammen. In dieser Mail wird das Unternehmen aufgefordert, die Unternehmensdaten bei den deutschen Industrie- und Handelskammern umgehend zu aktualisieren. Andernfalls drohten eine Vertragskündigung mit der IHK.

Bitte klicken Sie keinesfalls auf den Link "Daten aktualisieren", und geben Sie erst recht auf der Zielseite keine Daten ein. Diese Mail stammt nicht aus der IHK-Organisation und sollte umgehend gelöscht werden.

Der Europäische Datenschutzausschuss (EDSA) führt koordinierte Prüfaktionen durch. Dazu werden europaweit von den Aufsichtsbehörden ein abgestimmter Fragebogen zu einem bestimmten Thema an öffentliche und private Stellen verschickt.

Die nächste Aktion zum Thema "Recht auf Löschung" startete am 05.03.2025.

An der Aktion nehmen die Landesdatenschutzaufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte teil.

Mit dem Fragebogen wollen sie erfahren, wie das Recht auf Löschung von den Unternehmen und Behörden praktisch umgesetzt wird. Das Recht auf Löschung (Art. 17 DSGVO) ist eines der am häufigsten ausgeübten Betroffenenrechte und eines, über das bei den Datenschutzaufsichtsbehörden zahlreiche Beschwerden eingehen.

Ab dem 15.01.2025 erhält jeder Versicherte ohne sein Zutun eine elektronische Patientenakte (ePA). Wer keine initiale Einrichtung der ePA möchte, muss dem widersprechen. Der Widerspruch muss gegenüber der jeweiligen Krankenkasse abgegeben werden, bei der der Patient versichert ist. Der Widerspruch kann vollumfänglich erfolgen oder einzelne Funktionen betreffen.

Die ePA ist eine patientengeführte Akte, in der Patienten ihre gesundheitsbezogenen Daten speichern und verwalten können. Der Patient entscheidet, welche Daten in der ePA gespeichert und wieder gelöscht werden, und sie entscheiden, wer Zugriff auf welche Daten erhält. Darüber hinaus können Versicherte eigene Dokumente und Daten in der ePA stellen. Die ePA ermöglicht den Austausch von Daten des Patienten zwischen den an seiner Behandlung beteiligten Leistungserbringern.

Zugriff auf die ePA kann der Versicherte durch das Einstecken seiner Gesundheitskarte im eHealth-Kartenterminal des Leistungserbringers, über die ePA-App der jeweiligen Krankenkasse oder mittels GesundheitsID erteilen.

Datenschutzrechtlich ist an der ePA zu kritisieren, dass keine aktive Einwilligung in die Erstellung und Verwendung erfolgen muss, wie es die Datenschutzgrundverordnung grundsätzlich fordert. Um Zugriffsmöglichkeiten auf die ePA einzuschränken, müssen Versicherte ePA-App nutzen. Alternativ können sich Versicherte an die Ombudsstelle bei der Krankenkasse werden, was viel aufwändiger ist.  Dem Einstellen von Behandlungsdaten müssen Versicherte dann zudem wiederum gegenüber den behandelnden Ärzt*innen oder anderen Gesundheitsdienstleistern widersprechen. Die ePA birgt ein erhöhtes Risiko für die besonders schützenswerten Gesundheitsdaten. Der Zugang zu diesen Daten liegt im Interesse diverser Angreifer. Die Telematikinfrastruktur, die von der gematik GmbH betrieben wird, weist laut Sicherheitsexperten noch gravierende Schwachstellen auf.

Seit dem 1. Januar 2025 ist bei Umsätzen zwischen inländischen Unternehmern regelmäßig eine elektronische Rechnung (E‑Rechnung) zu verwenden. E-Rechnungen für Beträge ab 250 Euro müssen die Unternehmen dann annehmen und verarbeiten können. Wenn ein Vertragspartner darauf besteht, muss ein Unternehmen in der Lage sein, diesem eine E-Rechnung zu stellen. Dies gilt nicht für Rechnungen an private Endverbraucher.

Spätestens ab 2028 müssen Gewerbetreibende und Selbstständige prinzipiell nur noch E-Rechnungen ausstellen und verarbeiten. Unternehmen mit mehr als 800.000 Euro Jahresumsatz bereits ab 2027.

Verwendet werden muss ein strukturiertes XML-Format. Die Daten können so automatisiert ausgelesen und zugeordnet werden können.

Den Übertragungsweg einer E-Rechnung legt das Gesetz nicht verbindlich fest. Diese können also weiterhin per E-Mail versendet werden. Die Rechnungssteller sollten dabei eine dedizierte Mailadresse wie rechnung[at]unternehmen.de verwenden. Der Vorteil der E-Rechnung aus datenschutzrechtlicher Sicht ist die vereinfachte Aufbewahrung und spätere Löschung der Rechnungen. Für die Versendung kommen auch Uploads auf speziellen Rechnungsportalen in Frage.

Als Unternehmer müssen Sie jede E-Rechnung vor der Buchung technisch sowie inhaltlich validieren: die technische Validierung beinhaltet die Überprüfung der formalen Struktur der Rechnung, und die inhaltliche Validierung die Überprüfung der Daten der Rechnung auf Richtigkeit.

Unternehmen und Selbstständige müssen ihre Buchhaltung und sämtliche elektronisch eingegangenen Rechnungen korrekt dokumentieren und archivieren. Gemäß der GoBD soll die Archivierung revisionssicher und unveränderbar sein.

Es gibt keine Vorgabe für das zu verwendende E-Rechnungs-Tool. Es können die Angebote der zahlreichen Softwarehersteller genutzt werden. Hier muss zuvor geprüft werden, ob diese den Datenschutzstandards entsprechen. Wer zur Bearbeitung und Archivierung der E-Rechnungen eine Cloud, statt einem Server im eigenen Haus nutzt, sollte auch diese Anwendung hinsichtlich der Sicherheit und Datenschutzkonformität überprüfen. Empfehlenswert sind solche Anbieter, deren Rechenzentren und Hosting in Deutschland stattfinden.

Um die Datenschutzkonformität zu gewährleisten, sollten Unternehmen weiterhin insbesondere darauf achten, dass die übermittelten Rechnungen verschlüsselt werden. Zudem sind eine sichere Speicherung und Zugriffsverwaltung der Daten erforderlich sowie die Erstellung regelmäßiger Backups. Unternehmen sollten nur die notwendigsten Informationen, wie z. B. die E-Mail-Adresse des Empfängers, erheben und regelmäßige Schulungen durchführen, um die Mitarbeiter für Datenschutzthemen zu sensibilisieren.

Videoüberwachung bedeutet, dass mithilfe optisch-elektronischer Einrichtungen personenbezogene Daten (Bild- und/oder Audiodaten) verarbeitet werden. Hierunter fallen auch Webcams, Smartphones, Dashcams, Drohnen oder Tür- und Klingelkameras. Nicht entscheidend ist, ob die Kamera fest montiert, veränderbar (sprich mit Schwenk-, Neig- oder Zoomfunktion) oder mobil einsetzbar ist, sondern nur der Überwachungszweck.

Eine Verarbeitung im Sinne des Datenschutzrechts liegt auch dann vor, wenn „nur“ Livebilder (Monitoring bzw. Echtzeitüberwachungen) erfasst werden. Weitere Verarbeitungstätigkeiten sind das Speichern (Videoaufzeichnung) und die Verwendung in Form der Sichtung, Ausdruck oder Weitergabe an Dritte.

Das Schwärzen und Verpixeln von Bildmaterial reicht nicht als Anonymisierung aus, wenn das Unkenntlichmachen im Nachhinein wieder aufgehoben werden kann. Eine Verarbeitung liegt auch dann vor, wenn die Aufnahmen ungesehen gelöscht werden oder nur im Bedarfs- bzw. Alarmfall aufgezeichnet wird.

Bei der Verwendung von Kameraatrappen oder Kameras, die nicht in Betrieb genommen werden, sind die Datenschutzvorschriften nicht anzuwenden. Laut Aufsichtsbehörde Sachsen sind nicht die technischen Möglichkeiten ausschlaggebend, sondern nur, ob eine Videokamera tatsächlich in Betrieb ist oder nicht. Zivilrechtlich können allerdings dennoch Ansprüche auf sie zukommen.

Als Rechtsgrundlage kommt regelmäßig Art. 6 Abs. 1 lit f. DSGVO in Betracht. Videoüberwachungen lassen sich regelmäßig nicht auf Einwilligungen stützen, da die gesetzlichen Anforderungen an eine Einwilligung zu diesem Zweck praktisch nicht erfüllt werden können. Demzufolge muss der Betreiber der Videokamera ein berechtigtes Interesse an den einzelnen Verarbeitungen vorweisen. Die Videoüberwachung muss für die Zweckerreichung erforderlich sein und die Interessen der betroffenen Personen (Grundrecht auf informationelle Selbstbestimmung) nicht überwiegen. In jedem Fall sind wirksame Alternativen zu prüfen, wie herkömmliche Alarmanlagen oder der Einbau von einbruchssicheren Fenstern und wie der Eingriff in die Persönlichkeitsrechte Betroffener möglichst wenig intensiv erfolgen kann.

Grundsätzlich kann gesagt werden, dass Bereiche in denen Menschen kommunizieren, essen, trinken und sich erholen keine Videoüberwachung erfolgen darf. Ebenso wenig in Räumen, wo Beobachtungen die Intimsphäre berühren würden. Auch Aufzeichnungen zum Zweck einer Verhaltens- oder Leistungskontrolle von Beschäftigten ist grundsätzlich unzulässig.

Betroffene können in zwei Schritten informiert werden. Im ersten Schritt mit den wichtigsten Informationen mit einem auf Augenhöhe angebrachten Hinweisschild und im zweiten Schritt mit allen Informationen an geeigneter, gut zugänglicher Stelle. Die Speicherdauer beträgt maximal 72 Stunden.

Zur Aufdeckung von Straftaten dürfen Aufzeichnungen von Beschäftigten nur nach der Maßgabe des § 26 Abs. 1 Satz 2 BDSG oder einer datenschutzkonformen Betriebsvereinbarung verarbeitet werden. Ausgeschlossen ist eine dauerhafte permanente Videoüberwachung.

Private Aufzeichnungen von privatem Grundstück oder der selbstbewohnten Miet- oder Eigentumswohnung fällt nur dann nicht unter die Datenschutzgrundverordnung, wenn die ausschließlich selbstgenutzt ist. Kommt beispielsweise ein bestellter Pflegedienst oder der Handwerker, hat eine Videoüberwachung schon zu unterbleiben.

Bei Videoüberwachungskameras mit Audiofunktion macht man sich regelmäßig sogar strafbar. Verfügt eine Videoüberwachungskamera über eine Audiofunktion, muss diese deaktiviert werden.

Aufgrund zahlreicher Hinweise und Beschwerden von Betroffenen und Medienvertretern aus ganz Deutschland hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) die Parkraumüberwachung eines entsprechenden Überwachungsnternehmens (Verantwortlicher) überprüft. Dazu musste der Verantwortliche alle Fragen der Behörde zum Verständnis relevanter technischer und tatsächlicher Prozesse beantworten. Der Verantwortliche beantwortete die gestellten Fragen jedoch nicht zufriedenstellend, weshalb eine Prüfung aufgrund mangelnder Nachvollziehbarkeit der Funktionsweise des Parkraumüberwachungssystems vorerst nicht möglich war. Das Unternehmen wurde deshalb zunächst wegen Verstoßes gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu einer beabsichtigten Untersagung er Überwachung aufgrund fehlender Überprüfbarkeit angehört, sowie hinsichtlich der unterbliebenen angemessenen Mitwirkung gemäß Art. 31 DSGVO bis zur vollständigen Offenlegung der Funktionsweise des Systems ein Ordnungswidrigkeitsverfahren eingeleitet.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wird umbenannt. Hintergrund ist die sprachliche Anpassung des Wortes „Telemedien“. Diese heißen nun „digitale Dienste“. Dementsprechend wird das Gesetz in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz umbenannt, kurz TDDDG. Das Gesetz regelt den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten.

Darüber hinaus wird das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Das DDG gilt für alle Online-Diensteanbieter und betrifft somit fast jeden Webseitenbetreiber.

Sofern die Gesetze in der Datenschutzerklärung und im Impressum angegeben sind, ist die Bezeichnung zu ändern. Es besteht jedoch keine gesetzliche Pflicht zur Angabe des Paragraphen. Inhaltlich hat sich nichts geändert.

Beim mobilen Arbeiten, wie im Homeoffice sind die datenschutzrechtlichen Vorgaben des Arbeitgebers einzuhalten. Da die Arbeitnehmer im Rahmen Ihrer Arbeitstätigkeit auch im Homeoffice auf Weisung des Arbeitgebers handeln, bleibt der Arbeitgeber datenschutzrechtlich verantwortlich. Daher muss dieser auch für die mobile Arbeit technische und organisatorische Maßnahmen, wie beispielsweise „Mobile Working Vereinbarungen“, treffen, um die Einhaltung datenschutzrechtlicher Vorgaben zu gewährleisten.

Grundsätzlich sollte darauf verzichtet werden, physische Dokumente oder Datenträger mit personenbezogenen Daten mit nach Hause oder andernorts mitzunehmen oder dort anzufertigen. Sofern dies unbedingt nötig sein sollte, ist darauf zu achten, dass Dritte, auch Familienmitglieder oder Mitbewohner, keinen Zugang zu den Daten haben und die Daten nicht einsehbar sind. Zumindest muss die Verwahrung in einem verschließbaren Schrank gewährleistet werden. Eine Entsorgung der personenbezogenen Daten im Hausmüll oder öffentlichen Müllbehältern ist untersagt. Die Dokumente und Dateien müssen datenschutzkonform vernichtet werden, z.B. durch professionelle Aktenvernichtung oder durch Entsorgung über die dafür vorgesehenen Wege im Büro. Der Laptop ist mindestens mit einem Kennwortschutz zu schützen – besser: durch Zwei-Faktor-Authentifizierung. Auch bei kurzer Inaktivität am Laptop sollte die Bildschirmsperre aktiviert werden.

Wird für die Arbeit der Zugriff auf das Firmennetzwerk benötigt, sollten Arbeitgeber dies mittels VPN-Verbindung ermöglichen. Zudem sollte keine lokale Speicherung von vertraulichen Daten auf dem Laptop selbst erfolgen, sondern nur auf den Servern des Firmennetzwerks. Auch effiziente Firewalls und Antivirensoftwares sollten arbeitgeberseitig zur Verfügung gestellt werden. Updates sind gegebenenfalls selbst vorzunehmen.

Der Artificial Intelligence Act, die sogenannte KI-Verordnung, ist da. Das Gesetz über künstliche Intelligenz (KI) soll für die Sicherheit und die Achtung der Grundrechte bei der Nutzung von KI innerhalb der EU sorgen und Innovationen fördern. Dabei legt die Verordnung Verpflichtungen für KI-Systeme fest und verbietet bestimmte KI-Anwendungen, wie beispielsweise Emotionserkennungssysteme am Arbeitsplatz. Wer KI im Unternehmen einsetzen möchte hat die Pflichten diese Verordnung, die mit hohem Aufwand einhergehen, zu beachten. 

Der AIA wurde im EU-Amtsblatt veröffentlicht und wird am 1. August in Kraft treten. Das Gesetz wird 24 Monate nach seinem Inkrafttreten in vollem Umfang anwendbar sein, einige Teile davon jedoch schon früher.

Verstöße gegen diese Verordnung sind wie in der Datenschutzgrundverordnung mit hohen Bußgeldern belegt. Bei Zuwiderhandlung kann die EU-Kommission Geldbußen von bis zu 7 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr oder 35 Mio. € verhängen..

Neben europäischen Ländern erlassen auch immer mehr andere Länder Regelungen bezüglich des internationalen Datentransfers. Seit Dezember 2023 sind beispielsweise Unternehmen, die unter das chinesische Datenschutzrecht fallen, verpflichtet die chinesischen Standardvertragsklauseln (SCC) zu nutzen. Werden Daten aus China an einen Datenempfänger außerhalb Chinas transferiert, so müssen die chinesischen SCC vorliegen, sofern kein anderer Transfermechanismus (Zertifizierung oder Sicherheitsbewertung) vorliegt. Die chinesischen SCC gelten grundsätzlich für jeden Transfer personenbezogener Daten aus China in andere Länder, unabhängig von der Rolle des Empfängers (Verantwortlicher oder Auftragsverarbeiter) und unabhängig davon, ob es sich um ein Konzernunternehmen oder einen Dritten handelt. Die SCC können jedoch weiterhin nur unter bestimmten Voraussetzungen zum Einsatz kommen.