Aus Fehlern lernen, das sollte man auch im Datenschutz noch mehr beherzigen. Es sind nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern führen, die Probleme im Datenschutz offenlegen. Es lohnt sich, weitere Fälle anzusehen, von denen die Aufsichtsbehörden berichten. Wir nennen konkrete Beispiele, aus denen man seine Lehren für den eigenen Datenschutz ziehen kann.
So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht.
(Bild: Azar - stock.adobe.com)
Die Aufsichtsbehörden für den Datenschutz berichten regelmäßige über Vorfälle, in denen die Datenschutz-Grundverordnung (DSGVO) nicht eingehalten wurde. Darunter sind mitunter wirklich erstaunliche Beispiele für Datenschutzverletzungen, kuriose Vorkommnisse, aber auch Datenschutz-Pannen, bei denen so manches Unternehmen denken wird, das könnte bei mir auch passieren.
Unter den dort vorgestellten Datenschutzfällen sei dieses Beispiel genannt: In der Nacht vom 7. auf den 8. Juni 2023 wurde die Hochschule Kaiserslautern Ziel eines Hacker-Angriffs. Die Angreifenden erbeuteten große Mengen personenbezogener Daten, die teils in sensible Kategorien fallen wie Krankenkassendaten und Daten über Schwerbehinderungen. Bald nach dem Angriff wurden die gestohlenen Daten im Darknet zum Kauf angeboten, so berichtete die Aufsichtsbehörde. 60 Prozent der Daten wurden tatsächlich veräußert, der Rest frei im Darknet veröffentlicht.
Das Präsidium der Hochschule Kaiserslautern hat den Hacking-Angriff innerhalb der gesetzlich vorgesehenen Frist von 72 Stunden gemeldet. Das Prüfverfahren läuft. Der Aufsichtsbehörde geht es nun unter anderem um die Frage, ob die Hochschule im Vorfeld des Angriffs die gesetzlichen Löschfristen beachtet hat oder ob sich unter dem Diebesgut auch solche Daten finden, die eigentlich schon hätten gelöscht sein müssen.
Ganz gleich, was die Prüfung ergibt: Unternehmen sollten sich genau das fragen. Werden die Daten fristgerecht gelöscht? Zum einen ist dies eine Vorgabe der DSGVO, zum anderen führt Datenminimierung und fristgerechtes Löschen auch zu einem kleineren Datenbestand und somit einer kleineren, möglichen Datenbeute. Löschen lohnt sich also mehrfach, auch mit Blick auf das Risiko durch Cyberattacken.
Entscheidungen von Maschinen transparent machen
Ein weiterer Datenschutz-Fall, der in Zukunft viele Unternehmen betreffen könnte: Werden Computer zu Entscheidern, muss dies nachvollziehbar sein, auch und gerade in Zeiten einer zunehmenden Nutzung von Künstlicher Intelligenz (KI).
Der Beispiel-Fall: Eine Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Dabei ist eine automatisierte Entscheidung eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) spezielle Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen, wie die Berliner Beauftragte für den Datenschutz deutlich machte. Die Bank machte dem Kunden auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren. Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, erklärte dazu: „Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen.“
Sensible Informationen über Beschäftigte in der Probezeit
Ein weiterer Fall aus Berlin: Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, führte eine Vorgesetzte auf Weisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine tabellarische Übersicht aller Beschäftigten in der Probezeit. Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein.
Dabei zeigte sich: In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Diese Einstufung wurde in einer Tabellenspalte mit der Überschrift „Begründung“ näher erläutert. Hier fanden sich Angaben zu persönlichen Äußerungen sowie gesundheitlichen und außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen würden. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden hier genannt.
Die Berliner Datenschutzbeauftragte kam bei ihrer Prüfung zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Zudem fehlte die Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste und die fehlende Erwähnung der Liste im Verarbeitungsverzeichnis.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit gab den Hinweis: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Nutzung von IT-Systemen Dritter
Die Datenschutzaufsichtsbehörde von Brandenburg hat auf ein weiteres Datenschutz-Problem hingewiesen: Bei einer anlasslosen Prüfung von Autohäusern standen insbesondere der Umgang mit Unterlagen wie Fahrzeugbriefen, Rechnungen und Personalausweiskopien sowie die Nachweisführung zur Erfüllung der datenschutzrechtlichen Anforderungen im Fokus. Im Ergebnis fand die Aufsicht einen durchgehend laxen Umgang mit personenbezogenen Daten.
Datenschutzerklärungen waren mangelhaft, Dokumentationspflichten wurden nicht erfüllt, Daten führten die Autohäuser oftmals doppelt und speicherten sie viel zu lange, so die Aufsichtsbehörde. Als Hauptursache der zu langen Speicherung von personenbezogenen Daten erwies sich die Nutzung herstellereigener IT-Systeme. Keines davon ermöglichte eine Löschung der personenbezogenen Daten, wenn erst einmal finanzielle Transaktionen vorlagen. Unklar war zudem, ob die Systeme eine Datenübermittlung in Nicht-EU-Länder vorsahen.
Dazu die Landesbeauftragte Dagmar Hartge: „Einerseits werden Unternehmen zur Nutzung herstellereigener IT-Systeme gedrängt, andererseits birgt dies in vielen Fällen die Gefahr möglicher Datenschutzverstöße. Technische und organisatorische Mängel können letztlich auch die Unternehmen selbst bedrohen. Diese bleiben datenschutzrechtlich aber jederzeit verantwortlich. An die Herstellerbetriebe appelliere ich, ihre Verantwortung wahrzunehmen und die Anforderungen des Datenschutzes bei der Konzeption ihrer Systeme von vornherein zu berücksichtigen.“
Es zeigt sich: Die Aufsichtsbehörden finden häufig Situationen vor, in denen grundlegende Datenschutzvorgaben nicht umgesetzt wurden, zum Beispiel fristgerechtes Löschen, die Zweckbindung von Daten, mangelnde Transparenz in der Datenverarbeitung. Die Beispiele sind zwar alle unterschiedlich, und es könnte schwierig erscheinen, alle diese Fälle wirklich sicher zu vermeiden.
Doch es gibt einen entscheidenden Rat: So kompliziert die DSGVO auch erscheinen mag, die sogenannten Grundsätze für die Verarbeitung personenbezogener Daten, zu finden in Artikel 5 DSGVO, sind mehr als hilfreich und entscheidend. Wer diese als Grundprinzipien beachtet, hat schon sehr viel erreicht, denn alle genannten Fälle hätten so vermieden werden können.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:quality(80)/p7i.vogel.de/wcms/7d/de/7dde4303ee2028c8baac0e3119cb724f/0109199656.jpeg "Aus Fehlern lernt man. Deshalb lohnt es sich für Unternehmen und Behörden, jetzt zum Jahresbeginn 2023 auf die größten Datenpannen aus 2022 zu blicken. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/7b/ad7b5861d2c5330840721a4d6a917d38/0112820620.jpeg "Der beste Weg, um hohe Bußgelder nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen. (Bild: vladischern - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/55/4b551d44958f3a88d9f9e0e6a120a8b6/0127697451v2.jpeg "Das EuGH-Urteil zur Pseudonymisierung schafft Rechtssicherheit: Ob Daten personenbezogen sind, hängt von den Umständen und der Zugriffsmöglichkeit des Verantwortlichen ab. (Bild: © btiger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/b3/3db3b3ca88f8308df633d9f97dcd5d3b/0128598788v2.jpeg "Die deutschen Aufsichten verhängten 2025 Millionenbußgelder – von fehlenden Partnerkontrollen bis zu WhatsApp-Datenlecks und Blackbox-Automatisierung. (Bild: © Westlight - stock.adobe.com)")