Datenschutz

„Falschparker, Halterdaten und Datenschutz: Wenn private Parkraumüberwachung Fragen aufwirft“.

Posted on by Markus Tomaske

Wenn Falschparker Post bekommen und Datenschutzfragen offenbleiben

Private Parkraumüberwachung sorgt regelmäßig für Ärger. Besonders dann, wenn Fahrzeughalter nicht nur Zahlungsaufforderungen erhalten, sondern zusätzlich Unterlassungserklärungen unterschreiben sollen. Ein aktueller Bericht der Kreiszeitung vom 30. Juni 2026 zeigt genau einen solchen Fall rund um den Tedi Parkplatz in Barrien. Dort sollen betroffene Fahrzeughalter Post von der Lectio Rechtsanwaltsgesellschaft mbH aus Köln erhalten haben. Gefordert werden laut Bericht eine Unterlassungserklärung, eine Kostennote in Höhe von 232 Euro sowie eine mögliche Vertragsstrafe von bis zu 1.000 Euro bei erneutem Verstoß.

Der Fall ist nicht nur zivilrechtlich interessant. Er wirft auch erhebliche datenschutzrechtliche Fragen auf. Denn wer Fahrzeughalter anschreibt, verarbeitet personenbezogene Daten. Dazu gehören in der Regel Name, Anschrift, Fahrzeugkennzeichen, Standort des angeblichen Parkverstoßes, Zeitpunkt des Parkvorgangs, möglicherweise Bilddaten, Forderungsdaten und Kommunikationsdaten. Genau an dieser Stelle beginnt die eigentliche Datenschutzfrage: Woher stammen diese Daten, wer hat sie erhoben, wer hat sie weitergegeben und auf welcher Rechtsgrundlage geschieht das?

Datenschutz beginnt nicht erst beim Schreiben an den Fahrzeughalter

Bei privaten Parkraumforderungen steht oft die Frage im Raum, wie die Verantwortlichen überhaupt an die Halterdaten gelangen. Denkbar sind Halterabfragen, Beauftragungen durch Grundstückseigentümer, Parkraumüberwachungsunternehmen, Inkassodienstleister oder anwaltliche Vertreter. Jede dieser Stationen kann datenschutzrechtlich relevant sein.

Betroffene müssen nachvollziehen können, wer ihre Daten verarbeitet, zu welchem Zweck dies geschieht, welche Rechtsgrundlage herangezogen wird, welche Empfänger beteiligt sind und wie lange die Daten gespeichert werden. Genau diese Transparenz ist ein Kernanliegen der Datenschutz Grundverordnung.

Besonders sensibel wird es, wenn ein Geschäftsmodell auf der massenhaften Durchsetzung privater Parkraumforderungen beruht. Dann reicht es nicht aus, Betroffene nur mit Forderungen, Fristen und Vertragsstrafen zu konfrontieren. Es muss auch klar und verständlich erklärt werden, wie mit ihren personenbezogenen Daten umgegangen wird.

Auffälligkeiten auf der Webseite der Lectio Rechtsanwaltsgesellschaft mbH

Ein Blick auf die Webseite www.lectio.de zeigt, dass dort eine Kontaktmöglichkeit mit Eingabe einer E Mail Adresse vorgesehen ist. Schon dadurch können personenbezogene Daten direkt über die Webseite erhoben werden. Die Seite enthält außerdem ein Impressum mit Angaben zur Lectio Rechtsanwaltsgesellschaft mbH, Sitz in Köln, Registerdaten und Geschäftsführer.

Die Datenschutzhinweise auf der Webseite wirken jedoch sehr knapp. Genannt werden ein Auskunfts und Widerrufsrecht, allgemeine Hinweise zu Server Logfiles, freiwillige Angaben personenbezogener Daten, Bestandsdaten, Nutzungsdaten und allgemeine Speicherhinweise. Konkrete Angaben zu den einzelnen Rechtsgrundlagen nach Art. 6 DSGVO, zu Empfängern oder Dienstleistern, zu einem möglichen Hosting oder technischen Dienstleister, zu konkreten Speicherfristen, zur vollständigen Darstellung der Betroffenenrechte und zum Beschwerderecht bei einer Datenschutzaufsichtsbehörde sind auf der sichtbaren Seite nicht umfassend dargestellt.

Auffällig ist zudem der Hinweis „Powered by Webflow“ am Ende der Webseite. Wenn technische Dienstleister für Betrieb, Hosting oder Formularverarbeitung eingebunden sind, müssen Verantwortliche transparent erklären, welche Dienstleister beteiligt sind, welche Daten dort verarbeitet werden und ob eine Übermittlung in Drittstaaten eine Rolle spielt. Ob im konkreten Fall eine solche Übermittlung stattfindet, müsste technisch geprüft werden. Problematisch bleibt aber bereits, wenn erkennbare technische Dienste in der Datenschutzerklärung nicht nachvollziehbar eingeordnet werden.

Was Art. 13 DSGVO verlangt

Art. 13 DSGVO verpflichtet Verantwortliche dazu, betroffene Personen zum Zeitpunkt der Datenerhebung umfassend zu informieren. Dazu gehören unter anderem Name und Kontaktdaten des Verantwortlichen, gegebenenfalls Kontaktdaten des Datenschutzbeauftragten, Zwecke der Verarbeitung, Rechtsgrundlagen, berechtigte Interessen, Empfänger oder Kategorien von Empfängern, mögliche Drittlandübermittlungen, Speicherdauer, Betroffenenrechte, Widerrufsrechte, Beschwerderecht bei einer Aufsichtsbehörde sowie Hinweise dazu, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist.

Gerade bei einer Anwaltsgesellschaft, die nach öffentlicher Berichterstattung Forderungsschreiben und Unterlassungserklärungen im Zusammenhang mit privatem Parkraum versendet, wäre eine besonders sorgfältige Datenschutzinformation zu erwarten. Denn hier geht es nicht um eine harmlose Newsletter Anmeldung, sondern um eine Verarbeitung, die für Betroffene erhebliche finanzielle und rechtliche Folgen haben kann.

Die eigentliche Unstimmigkeit

Die Unstimmigkeit liegt nicht allein darin, dass eine Datenschutzerklärung kurz ist. Eine kurze Datenschutzerklärung kann grundsätzlich ausreichend sein, wenn sie vollständig, konkret und verständlich ist. Problematisch wird es dann, wenn wesentliche Verarbeitungsvorgänge nicht konkret beschrieben werden.

Wenn eine Rechtsanwaltsgesellschaft öffentlich mit Forderungsschreiben, Unterlassungserklärungen, Vertragsstrafen und Parkraumfällen in Verbindung gebracht wird, gleichzeitig aber auf der eigenen Webseite nur sehr allgemeine Datenschutzinformationen bereitstellt, entsteht ein Spannungsverhältnis. Wer von anderen rechtliche Pflichten konsequent einfordert, sollte bei den eigenen Transparenzpflichten besonders sauber arbeiten.

Es geht dabei nicht darum, private Parkraumüberwachung pauschal als unzulässig darzustellen. Entscheidend ist, ob die Verarbeitung personenbezogener Daten transparent, zweckgebunden, erforderlich und rechtlich sauber dokumentiert erfolgt. Betroffene dürfen nicht im Dunkeln gelassen werden, wie ihre Daten erhoben wurden, welche Stellen beteiligt waren und wie lange die Daten gespeichert bleiben.

Welche Fragen Betroffene stellen sollten

Betroffene können insbesondere prüfen lassen oder selbst nach Art. 15 DSGVO Auskunft verlangen, welche personenbezogenen Daten verarbeitet werden, aus welcher Quelle diese Daten stammen, zu welchem Zweck sie genutzt werden, auf welcher Rechtsgrundlage die Verarbeitung erfolgt und an welche Empfänger die Daten weitergegeben wurden.

Besonders relevant sind Fragen zur Halterabfrage, zum Auftraggeber, zum Grundstückseigentümer, zum Parkraumüberwachungsunternehmen, zu eingesetzten Inkassodienstleistern, zu anwaltlichen Vertretern, zu gespeicherten Bilddaten, zur Speicherdauer und zur Löschung nach Abschluss des Vorgangs.

Auch die Webseite selbst kann Gegenstand einer datenschutzrechtlichen Beschwerde sein, wenn dort personenbezogene Daten erhoben werden und die Informationspflichten nicht vollständig erfüllt werden. Für Unternehmen mit Sitz in Nordrhein Westfalen ist grundsätzlich die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein Westfalen naheliegend. Zusätzlich besteht nach Art. 77 DSGVO allgemein ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.

Fazit

Der Fall rund um den Tedi Parkplatz in Barrien zeigt, wie schnell private Parkraumüberwachung nicht nur zu zivilrechtlichem Streit, sondern auch zu datenschutzrechtlichen Fragen führt. Wer Fahrzeughalterdaten verarbeitet, muss sauber erklären können, woher die Daten stammen, warum sie verarbeitet werden, wer Zugriff erhält und wann sie gelöscht werden.

Gerade bei Forderungen, Unterlassungserklärungen und möglichen Vertragsstrafen brauchen Betroffene Transparenz. Datenschutz ist hier kein Nebenthema, sondern ein zentraler Bestandteil fairer Rechtsdurchsetzung.

Wenn eine Kanzlei oder Rechtsanwaltsgesellschaft personenbezogene Daten nutzt, um Ansprüche geltend zu machen, muss sie selbst besonders sorgfältig informieren. Alles andere wirkt mindestens widersprüchlich. Recht durchsetzen wollen, aber Transparenzpflichten nur sparsam behandeln, ist datenschutzrechtlich dünnes Eis.

Datenschutz und Kennzeichenabfrage in Taucha: Warum der Fall um SPIEGEL TV und Feuerwehrmann Ray Lange juristisch brisant ist

Posted on by Markus Tomaske

Die Diskussion um den Fall des Feuerwehrmanns Ray Lange aus Taucha sorgt inzwischen bundesweit für Aufmerksamkeit. Während zunächst eine umstrittene Geschwindigkeitsmessung während einer Einsatzfahrt im Mittelpunkt stand, rückt nun eine mögliche Datenschutzverletzung innerhalb der Stadtverwaltung in den Fokus.

Besonders kritisch erscheint der Vorwurf, dass nach einem Besuch eines SPIEGEL TV Teams im Rathaus möglicherweise eine Kennzeichenhalterabfrage durchgeführt wurde, um die Journalisten zu identifizieren. Sollte sich dieser Verdacht bestätigen, hätte der Fall erhebliche datenschutzrechtliche und verwaltungsrechtliche Relevanz.

Worum geht es im Fall Taucha?

Auslöser war ein Verfahren gegen den Feuerwehrmann Ray Lange. Dieser soll während einer Einsatzfahrt mit einem Feuerwehrfahrzeug in einer Baustellenzone mit deutlich überhöhter Geschwindigkeit gemessen worden sein. Laut Berichten waren Blaulicht und Martinshorn aktiviert.

Der Fall entwickelte sich schnell zu einem öffentlichen Streitfall zwischen Feuerwehr, Stadtverwaltung und Medien.

Zusätzliche Brisanz erhielt die Angelegenheit durch Berichte, wonach nach einem Besuch eines SPIEGEL TV Teams im Rathaus eine Kennzeichenabfrage erfolgt sein könnte. Ziel soll angeblich gewesen sein herauszufinden, wem das Fahrzeug des Fernsehteams gehört.

Die Stadt Taucha erklärte später, die Maßnahme habe der Gefahrenabwehr beziehungsweise Gefahrenermittlung gedient. Kritiker und Datenschützer bezweifeln jedoch, dass hierfür tatsächlich eine ausreichende gesetzliche Grundlage bestand.

Warum Kennzeichenabfragen datenschutzrechtlich sensibel sind

Viele Bürger unterschätzen, dass eine Halterabfrage keineswegs ein harmloser Verwaltungsakt ist.

Bereits das Kennzeichen eines Fahrzeugs stellt einen personenbezogenen Bezug her, sobald darüber ein Fahrzeughalter identifiziert werden kann. Die anschließende Abfrage im Fahrzeugregister ist daher eine Verarbeitung personenbezogener Daten im Sinne der Datenschutz Grundverordnung.

Öffentliche Stellen dürfen solche Daten nicht beliebig abrufen oder nutzen. Maßgeblich sind insbesondere:

• Datenschutz Grundverordnung DSGVO
• Straßenverkehrsgesetz StVG
• Polizeirecht der Länder
• Zweckbindungsgrundsatz nach Art. 5 DSGVO

Eine Kennzeichenhalterabfrage ist grundsätzlich nur zulässig, wenn:
• eine konkrete gesetzliche Grundlage besteht
• die Maßnahme erforderlich ist
• ein legitimer Zweck vorliegt
• die Verhältnismäßigkeit gewahrt bleibt

Ein bloßes Interesse daran zu erfahren, welches Journalistenteam vor Ort war, dürfte hierfür regelmäßig nicht ausreichen.

Pressefreiheit und Datenschutz kollidieren hier besonders sensibel

Juristisch besonders problematisch wird der Vorgang durch den möglichen Bezug zur Pressefreiheit.

Journalisten müssen kritisch über Behörden berichten können, ohne befürchten zu müssen, durch staatliche Stellen identifiziert oder überprüft zu werden. Bereits der Eindruck einer möglichen Einschüchterung kann erhebliche Auswirkungen auf die freie Berichterstattung haben.

Gerade deshalb reagieren Datenschutzbehörden und Journalistenverbände bei solchen Fällen regelmäßig sensibel.

Sollte eine Kennzeichenabfrage ohne ausreichende Rechtsgrundlage erfolgt sein, könnten mehrere Problemfelder gleichzeitig betroffen sein:

Mögliche Datenschutzverstöße

• unzulässige Datenverarbeitung
• fehlende Rechtsgrundlage
• Verstoß gegen Zweckbindung
• unzulässige Weitergabe innerhalb der Behörde

Verwaltungsrechtliche Konsequenzen

• interne Prüfungen
• Disziplinarmaßnahmen
• Prüfung durch Datenschutzaufsichtsbehörden

Auswirkungen auf die Pressefreiheit

• Einschüchterungswirkung gegenüber Medien
• Vertrauensverlust in Behörden
• öffentliche Kritik an Verwaltungshandeln

Behörden müssen besonders sorgfältig mit personenbezogenen Daten umgehen

Der Fall zeigt erneut ein zentrales Problem im Datenschutzrecht:

Nicht jede technisch mögliche Datenabfrage ist automatisch erlaubt.

Gerade öffentliche Stellen verfügen über weitreichende Zugriffsrechte auf sensible Datenbanken. Umso wichtiger ist ein rechtskonformer und nachvollziehbarer Umgang mit diesen Befugnissen.

Besonders kritisch wird es immer dann, wenn:
• Medien betroffen sind
• personenbezogene Daten ohne klaren Zweck verarbeitet werden
• interne Behördenzugriffe nicht sauber dokumentiert werden
• Bürger oder Journalisten überwacht oder identifiziert wirken

Bereits der Anschein einer missbräuchlichen Nutzung behördlicher Systeme kann erheblichen Vertrauensschaden verursachen.

Warum der Fall bundesweit Aufmerksamkeit erhält

Die Kombination aus:
• Feuerwehr Einsatzfahrt
• Bußgeldverfahren
• Medienberichterstattung
• möglicher Datenschutzverletzung
• möglicher Einschüchterung von Journalisten

macht den Fall politisch und gesellschaftlich hochsensibel.

Für Datenschutzbeauftragte und Juristen ist die Angelegenheit deshalb besonders interessant, weil sie exemplarisch zeigt, wie schnell alltägliche Verwaltungsmaßnahmen datenschutzrechtliche Grenzen überschreiten können.

Datenschutz gilt auch innerhalb von Behörden

Der aktuelle Fall aus Taucha verdeutlicht eindrucksvoll, dass Datenschutz nicht nur Unternehmen betrifft. Auch Kommunen und Behörden müssen personenbezogene Daten streng zweckgebunden und rechtskonform verarbeiten.

Ob die konkrete Kennzeichenabfrage letztlich rechtmäßig war, werden vermutlich Datenschutzaufsicht und gegebenenfalls weitere Stellen bewerten müssen.

Fest steht jedoch bereits jetzt:
Der sensible Umgang mit personenbezogenen Daten ist gerade bei Behörden essenziell für Vertrauen, Rechtsstaatlichkeit und Pressefreiheit.

DSGVO vs. Rundfunkbeitrag – Gilt das Auskunftsrecht auch gegenüber MDR und Beitragsservice?

Posted on by Markus Tomaske

Ein Praxisfall zur datenschutzrechtlichen Zuständigkeit und zum Medienprivileg

Die Datenschutz-Grundverordnung garantiert Bürgerinnen und Bürgern in Art. 15 DSGVO ein umfassendes Auskunftsrecht. Jede betroffene Person hat das Recht zu erfahren, welche personenbezogenen Daten verarbeitet werden, zu welchem Zweck, an wen sie übermittelt werden und wie lange sie gespeichert bleiben.

Doch wie verhält es sich, wenn die Datenverarbeitung durch eine öffentlich-rechtliche Rundfunkanstalt erfolgt – etwa im Zusammenhang mit dem Rundfunkbeitrag?

Genau hier beginnt eine juristisch interessante und keineswegs abschließend geklärte Diskussion.

Der konkrete Ausgangspunkt

Im Rahmen eines Auskunftsersuchens nach Art. 15 DSGVO wurde vom Beitragsservice eine Datenauskunft erteilt. Diese stützte sich ausdrücklich auf § 11 Abs. 8 Rundfunkbeitragsstaatsvertrag.

Die Auskunft enthielt Stammdaten und bestimmte Verwaltungsinformationen, ließ jedoch unter anderem folgende Punkte offen:

  • vollständige Zahlungshistorie mit Einzelbuchungen
  • Mahn- und Vollstreckungsvorgänge
  • interne Bearbeitungsvermerke
  • konkrete Datenweitergaben mit Empfänger und Zeitpunkt
  • vollständige Kommunikationsprotokolle

Auf eine Nachforderung hin wurde mitgeteilt, die Auskunft sei vollständig und spezialgesetzlich geregelt.

Damit stellte sich die zentrale Frage:

Darf ein Landesstaatsvertrag den Umfang eines unionsrechtlich garantierten Auskunftsanspruchs faktisch begrenzen?

Die Position der Rundfunkseite

Die öffentlich-rechtlichen Rundfunkanstalten berufen sich auf das sogenannte Medienprivileg.

Dieses erlaubt es den Mitgliedstaaten gemäß Art. 85 DSGVO, für journalistische Zwecke Abweichungen oder Einschränkungen von bestimmten Datenschutzvorschriften vorzusehen, um die Meinungs- und Medienfreiheit zu schützen.

Für den MDR ist diese Sonderregelung im MDR-Staatsvertrag verankert. Die datenschutzrechtliche Aufsicht liegt daher nicht bei der allgemeinen Landesdatenschutzbehörde, sondern beim Rundfunkdatenschutzbeauftragten.

Aus Sicht der Rundfunkanstalten bedeutet das:

  • Die DSGVO gilt nur eingeschränkt.
  • Der Auskunftsumfang richtet sich nach rundfunkspezifischen Vorschriften.
  • Die allgemeine Datenschutzaufsicht ist nicht zuständig.

Diese Sichtweise ist formal nachvollziehbar und wird von den Behörden regelmäßig vertreten.

Die unionsrechtliche Gegenposition

Die Gegenauffassung knüpft an die Rechtsprechung des Gerichtshofs der Europäischen Union an.

Der EuGH hat mehrfach klargestellt, dass Ausnahmen vom Datenschutzrecht eng auszulegen sind und stets vom konkreten Zweck der Datenverarbeitung abhängen.

EuGH C-73/07 – Satakunnan Markkinapörssi

Der Gerichtshof betonte, dass eine Verarbeitung nur dann unter das Medienprivileg fällt, wenn sie ausschließlich journalistischen Zwecken dient.

EuGH C-345/17 – Buivids

Nicht jede Tätigkeit einer Medienorganisation ist automatisch journalistischer Natur. Maßgeblich ist der konkrete Zweck der jeweiligen Datenverarbeitung.

EuGH C-92/09 und C-93/09 – Volker und Markus Schecke

Transparenz- und Betroffenenrechte sind zentrale Bestandteile des unionsrechtlichen Datenschutzsystems. Einschränkungen sind eng auszulegen.

Literatur hierzu

  • Paal/Pauly, Art. 85 DSGVO Rn. 7 ff.
    Das Medienprivileg ist funktionsbezogen, nicht institutionsbezogen.
  • Ehmann/Selmayr, Art. 85 Rn. 6
    Nicht jede Tätigkeit eines Medienunternehmens fällt unter journalistische Zwecke.
  • Gola, Art. 85 Rn. 10
    Maßgeblich ist der konkrete Verarbeitungsvorgang.

Die Literatur folgt damit im Wesentlichen der EuGH-Rechtsprechung.

Der entscheidende Differenzierungspunkt

Hier liegt der Kern der juristischen Diskussion:

Der Rundfunkbeitragseinzug umfasst

  • Beitragserhebung
  • Zahlungsverwaltung
  • Mahnwesen
  • Forderungsmanagement
  • Vollstreckungsvorbereitung
  • Meldedatenabgleich

Diese Tätigkeiten dienen nicht der öffentlichen Meinungsbildung oder journalistischen Berichterstattung, sondern stellen Verwaltungshandeln dar.

Die entscheidende Frage lautet daher:

Handelt es sich hierbei um journalistische Datenverarbeitung im Sinne des Art. 85 DSGVO – oder um administrative Tätigkeit, bei der die DSGVO uneingeschränkt Anwendung findet?

Diese Frage ist bislang nicht höchstrichterlich geklärt.

Die Zuständigkeitsfrage

Die allgemeine Landesdatenschutzbehörde verweist auf den Rundfunkdatenschutzbeauftragten als zuständige Stelle.

Gleichzeitig bleibt offen, ob bei rein administrativer Datenverarbeitung eine parallele oder sogar vorrangige Zuständigkeit der allgemeinen Datenschutzaufsicht bestehen könnte.

Auch hier stehen sich zwei Ansichten gegenüber:

Sichtweise 1:
Rundfunk ist Sonderbereich, daher vollständige Verlagerung der Aufsicht.

Sichtweise 2:
Nur journalistische Verarbeitung unterliegt dem Medienprivileg. Verwaltungsdatenverarbeitung nicht.

Diese Differenzierung ist von erheblicher grundrechtlicher Bedeutung.

Warum diese Frage mehr ist als ein Einzelfall

Es geht nicht um eine formale Auseinandersetzung mit einer Behörde. Es geht um Grundprinzipien:

  • Transparenz staatlicher oder staatsnaher Verwaltung
  • Reichweite unionsrechtlicher Betroffenenrechte
  • Grenzen des Medienprivilegs
  • Effektivität des Datenschutzes

Der EuGH betont regelmäßig den Anwendungsvorrang des Unionsrechts. Nationale Sonderregelungen dürfen die Substanz der DSGVO nicht aushöhlen.

Ob dies im Bereich des Rundfunkbeitrags geschieht, ist eine legitime juristische Prüfungsfrage.

Fazit

Die Situation lässt sich sachlich wie folgt zusammenfassen:

  • Die Rundfunkanstalten stützen sich auf spezialgesetzliche Datenschutzregelungen.
  • Das Medienprivileg schützt journalistische Tätigkeiten.
  • Der Rundfunkbeitragseinzug ist Verwaltungstätigkeit.
  • Der EuGH fordert eine enge Auslegung von Ausnahmen.
  • Die endgültige Klärung dieser Abgrenzung steht noch aus.

Der Fall zeigt exemplarisch, wie komplex das Zusammenspiel von Unionsrecht, nationalem Staatsvertrag und datenschutzrechtlicher Aufsicht sein kann.

Unabhängig vom konkreten Ausgang bleibt festzuhalten:

Das Auskunftsrecht nach Art. 15 DSGVO ist eines der stärksten Instrumente des Datenschutzes – und seine Reichweite darf nicht pauschal verkürzt werden.

Datenschutz und das Mithören von Mobiltelefonen: Ein umfassender Leitfaden für Smartphones

Posted on by Markus Tomaske

In einer digitalen Welt, in der Datenschutz oberste Priorität hat, werden Mobiltelefone und Smartphones zunehmend zu potenziellen Risikofaktoren. Viele Nutzer fragen sich: Hört mein Smartphone mit? Das Mithören von Mobiltelefonen und Smartphones durch Apps, Sprachassistenten oder sogar Spionagesoftware ist ein brisantes Thema. Dieser Bericht beleuchtet die Risiken, rechtlichen Aspekte und praktischen Maßnahmen, um Ihre Privatsphäre zu schützen. Wir integrieren Datenschutzeinstellungen als zentrales Werkzeug, um das Mithören von Mobiltelefonen zu verhindern.

Das Problem: Wie kommt es zum Mithören von Smartphones?

Smartphones sind mit Mikrofonen ausgestattet, die für nützliche Funktionen wie Sprachassistenten gedacht sind. Allerdings können Apps oder Dritte diese Hardware missbrauchen, um Gespräche mitzuhören. Häufige Szenarien umfassen:

  • Werbezwecke: Apps analysieren Audio-Daten, um personalisierte Werbung zu schalten. Es gibt Berichte über verdächtige Übereinstimmungen zwischen Gesprächen und später erscheinenden Anzeigen.
  • Spionagesoftware: Programme ermöglichen heimliche Überwachung, inklusive Zugriff auf Mikrofon und Kamera. Risiken steigen durch KI-gestützte Angriffe, die Schwachstellen automatisieren.
  • App-Berechtigungen: Viele Apps fordern unnötigen Mikrofonzugriff, was zu ungewolltem Mithören von Smartphones führen kann.

Aktuelle Risiken umfassen übermäßige App-Berechtigungen, Spyware und menschliches Fehlverhalten (z. B. Installation unsicherer Apps), die den Datenschutz auf Mobiltelefonen gefährden. In Deutschland ist heimliches Mithören strafbar (§ 201 StGB), doch es gibt Grauzonen bei Sprachassistenten.

Rechtliche Grundlagen: Datenschutz im Kontext von Mobiltelefonen

Der Datenschutz wird in der EU durch die DSGVO geregelt, die den Zugriff auf personenbezogene Daten wie Audio streng einschränkt. Apps müssen explizite Zustimmung einholen, bevor sie das Mikrofon nutzen. In Deutschland verbietet das Strafgesetzbuch das unbefugte Mithören von Mobiltelefonen. Hersteller müssen transparente Datenschutzeinstellungen bieten. Verstöße können zu Bußgeldern führen.

Datenschutzeinstellungen auf Smartphones: Der Schlüssel gegen Mithören

Datenschutzeinstellungen sind Ihr erster Schutzwall gegen das Mithören von Smartphones. Hier eine Übersicht für gängige Systeme:

Auf iOS (iPhone)

  • Gehen Sie zu Einstellungen > Datenschutz & Sicherheit > Mikrofon.
  • Überprüfen Sie, welche Apps Zugriff haben, und deaktivieren Sie unnötige Berechtigungen.
  • Aktivieren Sie App-Tracking-Transparenz (unter Datenschutz > Tracking), um Werbedaten zu blocken.
  • Siri-Daten können gelöscht werden, um gespeicherte Audio zu entfernen.

Auf Android

  • Navigieren Sie zu Einstellungen > Datenschutz > Berechtigungsmanager > Mikrofon.
  • Wählen Sie „Verweigern“ für Apps, die keinen Zugriff benötigen.
  • Deaktivieren Sie personalisierte Werbung unter Einstellungen > Google > Werbung.
  • Nutzen Sie den Datenschutz-Dashboard, um kürzliche Zugriffe zu prüfen.

Diese Einstellungen verhindern, dass Apps im Hintergrund mithören. Zusätzlich empfehlen Experten, das Mikrofon physisch abzudecken oder Schutzhüllen zu verwenden.

Handlungsempfehlung: So umgehen Sie das Mithören von Mobiltelefonen

Um das Mithören von Smartphones effektiv zu umgehen, folgen Sie diesen schrittweisen Empfehlungen. Diese Maßnahmen schützen Ihren Datenschutz und minimieren Risiken:

  1. Berechtigungen überprüfen und einschränken Regelmäßig in den Datenschutzeinstellungen prüfen, welche Apps Mikrofonzugriff haben. Deaktivieren Sie alles Unnötige – Apps wie Social-Media-Plattformen brauchen das selten.
  2. Updates installieren Halten Sie Ihr Smartphone auf dem neuesten Stand, um Sicherheitslücken zu schließen. Aktuelle Systemversionen (Android 15/16, iOS 18/19) bieten verbesserte Kontrollfunktionen.
  3. Sprachassistenten deaktivieren Schalten Sie Siri oder Google Assistant aus, wenn nicht benötigt. Das reduziert ständiges Lauschen auf Aktivierungswörter.
  4. Zusätzliche Schutzmaßnahmen Nutzen Sie physische Abdeckungen für Mikrofon und Kamera. Installieren Sie bei Bedarf vertrauenswürdige Sicherheits-Apps, um Spyware zu erkennen.
  5. Daten löschen und monitoren Löschen Sie gespeicherte Sprachdaten bei den Herstellern. Überwachen Sie App-Aktivitäten auf Verdächtiges.
  6. Bei Verdacht auf Spionage Führen Sie einen Factory-Reset durch oder prüfen Sie mit integrierten Tools (z. B. Play Protect auf Android). Starke Bildschirmsperren und Passwortschutz sind essenziell.

Durch diese Schritte können Sie das Mithören von Mobiltelefonen weitgehend umgehen und Ihren Datenschutz stärken.

Vereinbaren Sie eine Beratung

Unerlaubte E Mail Werbung lohnt sich nicht

Posted on by Markus Tomaske

Ein Praxisfall aus der Datenschutzaufsicht

Immer wieder vertreten Unternehmen die Auffassung, E Mail Werbung sei ein Kavaliersdelikt. Ein kurzer Newsletter, ein angebliches Telefonat, eine vermeintliche Einwilligung. Die Realität sieht anders aus. Ein aktueller Fall aus der Datenschutzaufsicht zeigt sehr deutlich, dass Verstöße gegen Datenschutzrichtlinien weder folgenlos bleiben noch wirtschaftlich sinnvoll sind.

Der Ausgangspunkt

Ein Unternehmen versendete eine Werbe E Mail an eine geschäftliche Adresse, ohne eine nachweisbare Einwilligung des Empfängers vorlegen zu können. Auf Nachfrage behauptete das Unternehmen, die Einwilligung sei telefonisch erteilt worden. Belege hierfür konnten nicht erbracht werden.

Der Betroffene reichte daraufhin eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde ein.

Die rechtliche Einordnung

Nach Art. 6 Abs. 1 lit. a DSGVO ist E Mail Werbung nur dann zulässig, wenn eine freiwillige, informierte und nachweisbare Einwilligung vorliegt. Zusätzlich gilt Art. 7 Abs. 1 DSGVO. Danach ist allein der Verantwortliche verpflichtet, den Nachweis zu erbringen, dass eine Einwilligung tatsächlich erteilt wurde.

Wichtig dabei ist
Nicht der Empfänger muss beweisen, dass er keine Einwilligung erteilt hat.
Der Versender muss beweisen, dass eine wirksame Einwilligung vorliegt.

Diese Beweislast ist eindeutig gesetzlich geregelt.

Die Entscheidung der Aufsichtsbehörde

Im konkreten Fall konnte das Unternehmen keinen belastbaren Nachweis vorlegen. Weder eine dokumentierte Einwilligung noch ein Double Opt In Nachweis existierten. Die Datenschutzaufsichtsbehörde stellte daher fest, dass ein Verstoß gegen die DSGVO vorliegt.

Als Konsequenz wurden folgende Schritte eingeleitet:

• Eine aufsichtsbehördliche Maßnahme nach Art. 58 Abs. 2 DSGVO
• Anordnungen zur zukünftigen Unterlassung vergleichbarer Verstöße
• Prüfung der Einleitung eines Bußgeldverfahrens nach Art. 83 DSGVO

Das Beschwerdeverfahren wurde für den Betroffenen abgeschlossen. Das Aufsichtsverfahren gegen das Unternehmen läuft weiter.

Mögliche Sanktionen

Die DSGVO sieht für solche Verstöße empfindliche Sanktionen vor. Je nach Schwere, Dauer und Systematik drohen Bußgelder bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes. In der Praxis liegen die Beträge häufig im vier oder fünfstelligen Bereich, insbesondere bei professionellem Newsletter Versand ohne Einwilligungsnachweise.

Hinzu kommen organisatorische Folgen:

• Verpflichtende Überarbeitung der Marketingprozesse
• Löschung oder Bereinigung von Verteilern
• Dokumentationspflichten
• Reputationsschäden
• Risiko weiterer Prüfungen bei Wiederholungsfällen

Warum sich Datenschutzverstöße nicht lohnen

Der vermeintliche Vorteil schneller Reichweite wird durch das Risiko vollständig aufgezehrt. Datenschutzverstöße sind heute gut nachweisbar, insbesondere bei automatisiertem Versand über Newsletter Systeme. Die technische Spur ist eindeutig, die Rechtslage klar und die Aufsichtsbehörden handeln zunehmend konsequent.

Unternehmen, die auf saubere Einwilligungen setzen, haben keinen Nachteil. Unternehmen, die darauf verzichten, tragen ein unnötiges rechtliches und wirtschaftliches Risiko.

Fazit

Datenschutz ist kein Formalismus, sondern geltendes Recht. Wer personenbezogene Daten für Werbung nutzt, trägt die volle Verantwortung und die volle Beweislast. Der dargestellte Fall zeigt klar:
Unerlaubte E Mail Werbung lohnt sich nicht. Weder rechtlich noch wirtschaftlich.

Rechtskonformes Marketing ist kein Hindernis. Es ist die einzig nachhaltige Strategie.

Vereinbaren Sie eine Beratung

Datenschutzberatung bei Dashcam Nutzung – Dashcam, Datenschutz und Verkehrsrecht verständlich erklärt

Posted on by Markus Tomaske
Spezialangebot

Individuelle Dashcam-Beratung

Regulär 165 €
Angebot 135 €
Sie sparen 30 €

Kurze, klare Orientierung zu datenschutzrelevanten Rahmenbedingungen, Einstellungen, Speicherstrategie und typischen Risiken, damit Sie fundierte Entscheidungen treffen und unnötige Fehler vermeiden.



    Mit dem Absenden des Formulars werden die von Ihnen eingegebenen Daten zur Bearbeitung Ihrer Anfrage verarbeitet. Weitere Informationen zur Datenverarbeitung finden Sie in unserer Datenschutzerklärung.

    Hinweis: Die Beratung ist eine allgemeine Information und Orientierung im Bereich Datenschutz und Technik. Keine Rechtsberatung im Einzelfall und keine Vertretung gegenüber Dritten. Für eine verbindliche rechtliche Prüfung wenden Sie sich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.

    Thema: Dashcam verständlich erklärt

    Die Nutzung einer Dashcam im Fahrzeug ist in Deutschland ein Dauerthema zwischen Technik, Nutzen und Datenschutzrecht. Immer mehr Autofahrer setzen auf Kameras zur Beweissicherung im Straßenverkehr. Gleichzeitig steigt der Beratungsbedarf, denn Dashcams verarbeiten personenbezogene Daten und unterliegen damit klaren rechtlichen Grenzen. Eine fundierte Datenschutzberatung bei Dashcam Nutzung ist daher sinnvoll und oft notwendig.

    Dieser Artikel erklärt verständlich, faktenbasiert und praxisnah, was bei der Dashcam Nutzung erlaubt ist, was verboten ist und wo Risiken bestehen. Dabei werden Datenschutz, Verkehrsrecht und Datenschutzrecht gemeinsam betrachtet, denn genau hier liegt der Kern der rechtlichen Bewertung.

    Dashcam Nutzung und Datenschutz – der rechtliche Ausgangspunkt

    Eine Dashcam zeichnet den öffentlichen Straßenverkehr auf. Dabei werden regelmäßig Kennzeichen, Gesichter, Fahrzeuge, Bewegungsabläufe und teilweise sogar Stimmen erfasst. Diese Informationen gelten als personenbezogene Daten. Damit greift unmittelbar die Datenschutzgrundverordnung.

    Das Datenschutzrecht erlaubt eine Verarbeitung solcher Daten nur, wenn ein klarer Zweck besteht und die Verarbeitung erforderlich und verhältnismäßig ist. Eine dauerhafte, anlasslose Überwachung des Straßenverkehrs ist nicht zulässig. Genau hier beginnen die meisten rechtlichen Probleme bei der Dashcam Nutzung.

    Zweckbindung als Schlüsselbegriff der Datenschutzberatung

    Im Rahmen einer professionellen Datenschutzberatung bei Dashcam Nutzung steht immer die Zweckfrage im Mittelpunkt. Zulässig kann eine Dashcam sein, wenn sie ausschließlich zur Beweissicherung im konkreten Unfallfall eingesetzt wird. Das bedeutet kurze Aufzeichnungssequenzen, automatische Überschreibung und keine dauerhafte Archivierung.

    Wer eine Dashcam nutzt, um allgemein den Verkehr zu beobachten oder Aufnahmen für soziale Medien zu sammeln, verlässt den zulässigen Bereich des Datenschutzrechts sehr schnell. Beratung hilft hier, technische Einstellungen und Nutzungspraxis rechtssicher auszurichten.

    Speicherkarten und Datenmenge – ein unterschätztes Risiko

    Ein besonders kritischer Punkt aus Sicht des Datenschutzes ist die Größe der eingesetzten Speicherkarte. Moderne Dashcams unterstützen 64, 128 oder 256 Gigabyte. Je größer der Speicher, desto größer die gespeicherte Datenmenge und desto länger die Aufbewahrung.

    Aus datenschutzrechtlicher Sicht ist das problematisch. Große Speicherkarten widersprechen dem Grundsatz der Datenminimierung. Sie erhöhen das Risiko unzulässiger Datenspeicherung erheblich. Eine gute Datenschutzberatung empfiehlt daher kleine Speicherkarten mit kurzen Überschreibungsintervallen. Weniger Daten bedeuten weniger Risiko.

    Tonaufnahmen – datenschutzrechtlich fast immer unzulässig

    Ein besonders sensibler Punkt ist die Audiofunktion vieler Dashcams. Tonaufnahmen sind ohne vorherige Einwilligung aller Betroffenen grundsätzlich nicht erlaubt. Hier greift nicht nur Datenschutzrecht, sondern auch der strafrechtliche Schutz des gesprochenen Wortes.

    Der Zweck dieser Regelung ist eindeutig. Menschen sollen sich frei äußern können, ohne heimlich aufgezeichnet zu werden. In der Praxis bedeutet das klar und deutlich: Bei Dashcam Nutzung sollte die Tonaufnahme deaktiviert sein. Jede Datenschutzberatung wird diesen Punkt ausdrücklich betonen.

    Dashcam, Verkehrsrecht und Beweisverwertung

    Aus Sicht des Verkehrsrechts sind Dashcam Aufnahmen nicht per se wertlos. Gerichte haben mehrfach entschieden, dass Aufnahmen im Einzelfall als Beweismittel verwertet werden dürfen, etwa zur Klärung eines Unfallhergangs. Das bedeutet jedoch nicht, dass die Aufnahme selbst datenschutzkonform war.

    Hier zeigt sich die rechtliche Besonderheit. Eine Dashcam Aufnahme kann im Verkehrsrecht verwertbar sein und gleichzeitig einen Datenschutzverstoß darstellen. Genau dieses Spannungsfeld macht eine qualifizierte Beratung so wichtig.

    Was ist erlaubt und was verboten

    Erlaubt sein kann eine Dashcam, wenn sie kurzzeitig aufzeichnet, automatisch überschreibt, keinen Ton speichert und ausschließlich zur Beweissicherung dient. Verboten sind dauerhafte Aufzeichnungen, große Datensammlungen, Tonaufnahmen ohne Einwilligung und jede Veröffentlichung der Videos.

    Auch die Weitergabe von Aufnahmen an Dritte ohne rechtliche Grundlage ist datenschutzrechtlich unzulässig. Wer hier unsicher ist, sollte nicht experimentieren, sondern sich beraten lassen.

    Risikoabwägung und rechtlicher Kompromiss

    Die Nutzung einer Dashcam ist immer ein Kompromiss zwischen Nutzen und Risiko. Ohne Dashcam fehlen im Zweifel Beweise. Mit Dashcam besteht das Risiko datenschutzrechtlicher Konsequenzen. Eine pauschal risikofreie Lösung existiert nicht.

    Eine professionelle Datenschutzberatung bei Dashcam Nutzung hilft dabei, diesen Kompromiss sinnvoll zu gestalten. Technische Einstellungen, Speicherkapazität, Löschkonzepte und Nutzungsszenarien lassen sich so optimieren, dass der Nutzen erhalten bleibt und das rechtliche Risiko minimiert wird.

    Fazit: Datenschutz, Dashcam und Beratung gehören zusammen

    Dashcams sind weder grundsätzlich verboten noch bedenkenlos erlaubt. Sie bewegen sich an der Schnittstelle von Datenschutzrecht und Verkehrsrecht. Wer sie nutzt, sollte dies bewusst, datensparsam und zweckgebunden tun.

    Eine fundierte Datenschutzberatung schafft Klarheit, reduziert Risiken und sorgt dafür, dass die Dashcam Nutzung rechtlich vertretbar bleibt. Datenschutz bedeutet hier nicht Verzicht, sondern Kontrolle, Begrenzung und Verantwortung.

    Die NIS-2-Richtlinie

    Posted on by Markus Tomaske

    Bedeutung, Pflichten und praktische Folgen für Unternehmen in Deutschland

    Die NIS zwei Richtlinie ist die neue Fassung der europäischen Vorgaben zur Sicherheit von Netzwerken und Informationssystemen. Sie soll die digitale Widerstandskraft in Europa auf ein belastbares Niveau bringen. Die Vorgängerregelung war in vielen Branchen zu schwach, zu unpräzise und von den Mitgliedstaaten unterschiedlich umgesetzt. NIS zwei setzt hier an und zieht die Schrauben deutlich fester an. Die Botschaft ist klar. Europa meint es ernst mit Cybersicherheit.

    Warum wurde NIS zwei geschaffen

    Die digitale Bedrohungslage hat sich in den vergangenen Jahren erheblich verschärft. Organisierte Kriminalität, staatliche Akteure und automatisierte Angriffstechniken sorgen dafür, dass selbst kleinere Unternehmen inzwischen gefährdet sind. Ransomware, Identitätsdiebstahl, Lieferketten Angriffe und Sabotage gegen kritische Infrastrukturen gehören längst zum Alltag.

    Die alte NIS Richtlinie deckte nur wenige Branchen ab und enthielt sehr unterschiedliche nationale Interpretationen. Angreifer hielten sich jedoch nicht an Landesgrenzen. Daher musste eine einheitliche und deutlich strengere Regelung her.

    Wen betrifft die NIS zwei Richtlinie

    Im Gegensatz zur alten NIS Regel ist der Kreis der betroffenen Einrichtungen massiv erweitert worden. Er umfasst zwei Kategorien.

    Wichtige Einrichtungen

    Darunter fallen zum Beispiel
    Energie Versorgung
    Transport
    Trinkwasser
    Abwasser
    Gesundheit
    Digitale Dienste Anbieter
    Öffentliche Verwaltung
    Weltraum Dienste

    Wesentliche Einrichtungen

    Dazu zählen unter anderem
    Kritische Hersteller
    Elektronik Produktion
    Transport Infrastruktur Betreiber
    Post und Kurierdienste
    Lebensmittel Produktion und Verarbeitung
    Chemische Industrie

    Der entscheidende Punkt ist die Größe. Unternehmen ab zweihundertfünfzig Beschäftigten oder über vierzig Millionen Euro Jahresumsatz fallen regelmäßig in den Anwendungsbereich. Auch kleinere Betriebe können betroffen sein, wenn ihre Tätigkeit als besonders sensibel eingestuft wird.

    Welche Pflichten bringt NIS zwei

    NIS zwei ist kein Papiertiger. Die Richtlinie fordert konkrete technische und organisatorische Maßnahmen. Die Anforderungen orientieren sich an bewährten Standards wie ISO zweitausendneunhundert eins oder dem IT Grundschutz.

    Zu den Kernpflichten gehören
    Sicherheits Richtlinien für alle relevanten Systeme
    Regelmäßige Risiko Analysen und Schwachstellen Bewertungen
    Klare Notfallpläne und Wiederherstellungs Konzepte
    Strenge Zugangs und Rechte Verwaltung
    Verpflichtende Multifaktor Anmeldung
    Sichere Verschlüsselung
    Schutz der Lieferkette inklusive Prüfung von Dienstleistern
    Regelmäßige Schulungen aller Mitarbeitenden
    Dokumentationspflichten über alle sicherheitsrelevanten Abläufe

    Unternehmen müssen Gefahren nicht nur erkennen, sondern nachweislich reduzieren. Papier reicht nicht. Es braucht gelebte Prozesse.

    Meldepflichten bei Sicherheitsvorfällen

    Ein wesentlicher Punkt ist die neue Meldepflicht.
    Erste Meldung innerhalb von vierundzwanzig Stunden
    Detailbericht innerhalb von siebzig zwei Stunden
    Abschlussbericht innerhalb eines Monats

    Gemeldet wird an die nationale Stelle, in Deutschland an das Bundesamt für Sicherheit in der Informationstechnik.

    Diese Meldepflicht gilt auch dann, wenn der Angriff nicht vollständig erfolgreich war, aber ein erhebliches Risiko bestand. Viele Unternehmen müssen ihre internen Abläufe dafür komplett neu strukturieren.

    Sanktionen bei Verstössen

    Die Zeiten symbolischer Strafen sind vorbei. NIS zwei sieht empfindliche finanzielle Sanktionen vor, die sich an der Höhe der Strafen der Datenschutz Grundverordnung orientieren. Unternehmen können mit mehreren Millionen Euro belegt werden. Für Verantwortliche in Leitungspositionen drohen zusätzlich persönliche Haftungsrisiken, wenn sie ihre Pflichten grob verletzen.

    Was NIS zwei für die Praxis bedeutet

    Für Unternehmen bedeutet NIS zwei in erster Linie Arbeit, aber Arbeit, die sich auszahlt. Die Richtlinie zwingt zu einem höheren Sicherheitsniveau, was langfristig Schäden vermeidet und Vertrauen schafft. Wer Cybersicherheit ernst nimmt, spart am Ende Geld, Ärger und Reputation.

    Gleichzeitig ist NIS zwei auch ein Chance. Unternehmen, die frühzeitig investieren und ihre Strukturen modernisieren, haben Wettbewerbsvorteile. Cyberresilienz wird zu einem Qualitätsmerkmal, das Kunden und Partner überzeugt.

    Ein kleiner humorvoller Einschub darf sein. Die Richtlinie ist nicht dazu da, IT Abteilungen zu ärgern, auch wenn es sich gelegentlich genau so anfühlt. Sie soll die gesamte europäische Wirtschaft robuster machen. Angreifer sollen es schwer haben, nicht die Unternehmen.

    Fazit

    Die NIS zwei Richtlinie ist eine der bedeutendsten Regelungen im Bereich Cybersicherheit der letzten Jahre. Sie erweitert die Pflichten, erhöht die Anforderungen und setzt klare Fristen. Unternehmen, die sich rechtzeitig vorbereiten, gewinnen Sicherheit und Vertrauen. Unternehmen, die abwarten, riskieren Sanktionen und im Ernstfall erhebliche Schäden.

    Cybersicherheit ist kein Luxus, sondern eine Verpflichtung in einer vernetzten Welt. NIS zwei macht das unmissverständlich deutlich.

    ImmoScout24 Urteil: Warum Datenschutzberatung und ein Datenschutzbeauftragter für Unternehmen unverzichtbar sind

    Posted on by Markus Tomaske

    ImmoScout24 Urteil: 

    Urteil im Überblick

    • Gericht und Datum: Landgericht Berlin II, Urteil vom 19. Juni 2025, Aktenzeichen 52 O 65/23
    • Kläger: Verbraucherzentrale Bundesverband (vzbv)
    • Beklagter: Immobilien Scout GmbH (ImmoScout24)
    • Status: Urteil noch nicht rechtskräftig, Berufung beim Kammergericht Berlin (Az. 5 U 63/25)

    Was bemängelt wurde

    Irreführende Werbung

    ImmoScout warb damit, dass eine SCHUFA-Auskunft praktisch schon bei der Besichtigung notwendig sei.
    Diese Darstellung ist rechtlich falsch. Vermieter dürfen eine Bonitätsauskunft erst dann verlangen,
    wenn der Abschluss eines Mietvertrages unmittelbar bevorsteht. Das Gericht wertete die Aussagen als irreführend.

    Datenschutzverstoß im Formular „Selbstauskunft“

    Über ein Formular konnten Nutzer persönliche Daten wie Nettoeinkommen, Beschäftigungsart oder Raucherstatus eintragen.
    Das Gericht entschied, dass hierfür keine wirksame Einwilligung vorlag. Eine klare, freiwillige und informierte Zustimmung fehlte.
    Damit lag ein Verstoß gegen die DSGVO vor. Ein klarer Hinweis darauf, wie wichtig professionelle Datenschutzberatung ist.

    Bedeutung des Urteils für Unternehmen

    • Stärkung der Verbraucherrechte: Wohnungssuchende dürfen nicht durch Werbung unter Druck gesetzt werden.
    • Mehr Gewicht für Datensparsamkeit: Anbieter dürfen nur Daten erheben, die rechtlich wirklich erforderlich sind.
    • Transparenz wird Pflicht: Hinweise zum Datenschutz müssen klar, verständlich und gut sichtbar sein.

    Kritik und offene Fragen

    • Irreführung oder gängige Praxis? Viele Vermieter verlangen schon früh eine SCHUFA-Auskunft. Die rechtliche Zulässigkeit bleibt streng begrenzt.
    • Rechtsgrundlagen im Fokus: Neben Einwilligung könnte zwar auch ein „berechtigtes Interesse“ herangezogen werden, doch das LG Berlin sah dies hier nicht als ausreichend an.
    • Endgültige Klarheit erst nach Berufung: Das Urteil ist nicht rechtskräftig, das Kammergericht wird die Sache prüfen.

    Was Unternehmen jetzt tun sollten

    1. Werbeaussagen zu Bonitätsauskünften überarbeiten
    2. Formulare und Einwilligungen rechtssicher gestalten
    3. Datensparsamkeit als Grundprinzip umsetzen
    4. Dokumentieren, wie Einwilligungen eingeholt werden
    5. Entwicklungen in der Rechtsprechung aktiv verfolgen

    Hier zeigt sich klar: Eine professionelle Beratung für Unternehmen im Bereich Datenschutz verhindert teure Fehler.

    Fazit: Datenschutzberatung schützt vor hohen Risiken

    Das Urteil zeigt erneut, dass Firmen das Datenschutzgesetz oft so auslegen, wie es ihnen passt.
    Genau darin liegt ein erhebliches Risiko: Abmahnungen, Gerichtsverfahren und ein beschädigtes Image sind die Folge.

    Eine frühzeitige Datenschutzberatung durch einen erfahrenen Datenschutzbeauftragten spart enorme Kosten,
    sorgt für rechtssichere Prozesse und stärkt zusätzlich die Reputation.
    Datenschutz ist keine Nebensache – er ist ein zentraler Bestandteil einer seriösen Geschäftsstrategie.

    EuGH-Urteil: Anrede im Online-Shop ist Datenschutz-Verstoß

    Posted on by Markus Tomaske

    Das Urteil des Europäischen Gerichtshofs (EuGH) vom 9. Januar 2025 (Rechtssache C-394/23) wurde durch eine Beschwerde gegen die französische Staatsbahn SNCF ausgelöst. Diese verlangte bei der Online-Buchung von Fahrkarten die verpflichtende Angabe der Anrede („Herr“ oder „Frau“). Der EuGH entschied, dass diese Praxis gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO verstößt, da die Angabe der Anrede für die Vertragserfüllung nicht notwendig ist. Die Richter betonten, dass die Festlegung auf eine Geschlechtsidentität nicht erforderlich sei, um einen Beförderungsvertrag abzuschließen. Stattdessen könnten Unternehmen neutrale und inklusive Kommunikationsformen wie „Sehr geehrte Kundin, sehr geehrter Kunde“ nutzen. Auch ein berechtigtes Interesse an personalisierter Ansprache wurde abgelehnt, da der Schutz vor Diskriminierung aufgrund der Geschlechtsidentität vorrangig sei.

    Das Urteil stärkt das Recht auf informationelle Selbstbestimmung und hat weitreichende Auswirkungen auf Unternehmen, die personenbezogene Daten erheben. Es fordert eine Anpassung von Prozessen, um unnötige Datenerhebungen zu vermeiden.

    In Deutschland hat das Urteil besondere Relevanz, da viele Online-Shops weiterhin solche Pflichtangaben verlangen. Laut DSGVO dürfen nur Daten erhoben werden, die für die Vertragserfüllung notwendig sind. Die Anrede ist hierfür jedoch nicht erforderlich, weshalb Unternehmen ihre Formulare anpassen müssen. Das Urteil stärkt die Rechte der Verbraucher und fordert von deutschen Online-Händlern eine datenschutzkonforme Gestaltung ihrer Prozesse.

    Datenschutzgerechte Online-Formulare: Beratung und Lösungen für Ihr Unternehmen nehmen Sie Kontakt mit uns auf.

    Darf sich ein Unternehmen beim Ex-Arbeitgeber eines Bewerbers erkundigen?

    Posted on by Markus Tomaske

    Die Frage, ob ein Unternehmen sich ohne Wissen oder Zustimmung eines Bewerbers beim ehemaligen Arbeitgeber über dessen Arbeitsleistung, Verhalten oder sonstige Details erkundigen darf, ist nicht nur rechtlich problematisch, sondern verstößt in den meisten Fällen klar gegen die Datenschutz-Grundverordnung (DSGVO).Rechtliche Grundlage und DatenschutzDie DSGVO regelt den Umgang mit personenbezogenen Daten streng. Sie besagt, dass die Verarbeitung personenbezogener Daten – dazu zählen auch Informationen über vorherige Beschäftigungen – nur unter bestimmten Bedingungen erlaubt ist.

    Eine solche Bedingung ist die ausdrückliche Einwilligung des Betroffenen. Ohne diese Zustimmung darf ein Unternehmen keine Erkundigungen beim früheren Arbeitgeber einholen, da dies eine unzulässige Verarbeitung personenbezogener Daten darstellt.

    Gibt es Ausnahmen?

    Zwar gibt es vereinzelte rechtliche Ausnahmen, beispielsweise wenn es eine gesetzliche Grundlage gibt oder wenn eine Einholung der Referenz ausdrücklich im Arbeitsvertrag oder in einer Betriebsvereinbarung geregelt ist. Solche Fälle sind jedoch selten und erfordern eine präzise Prüfung. In der Regel ist es ohne Zustimmung des Bewerbers nicht zulässig, Informationen bei früheren Arbeitgebern einzuholen.

    Wichtig!

    Risiken für Unternehmen, die sich dennoch ohne Erlaubnis beim Ex-Arbeitgeber eines Bewerbers erkundigen, setzen sich erheblichen Risiken aus. Verstöße gegen die DSGVO können zu hohen Geldbußen führen. Darüber hinaus kann ein solches Vorgehen das Vertrauen potenzieller neuer Mitarbeiter beeinträchtigen und dem Ruf des Unternehmens schaden.FazitWer personenbezogene Daten verarbeiten oder weitergeben möchte – egal in welcher Form –, benötigt zwingend die Einwilligung des Betroffenen. Der Schutz persönlicher Daten ist ein grundlegendes Recht, das über wirtschaftlichen oder unternehmerischen Interessen steht.

    Empfehlung

    Unternehmen sollten sich daher bewusst sein, dass Datenschutz nicht nur eine rechtliche Verpflichtung ist, sondern auch ein wichtiger Bestandteil einer vertrauensvollen Unternehmenskultur.