Gerade hatte in Spanien – passend zur Urlaubssaison – die Datenschutzaufsichtsbehörde noch klargestellt, dass Hotels und Ferienwohnungen Ausweisdokumente ihrer Gäste nicht kopieren dürfen. Denn auch wenn Unterkünfte bestimmte Daten ihrer Gäste erheben müssen, geht eine Ausweiskopie zu weit, da sie mehr Daten enthält als erforderlich. Die spanischen Datenschützer regen an, Hotelgäste stattdessen ein Formular vor Ort oder online ausfüllen zu lassen, mit dem nur die gesetzlich erforderlichen Daten abgefragt werden, sowie eine Sichtkontrolle des Ausweises vor Ort durchzuführen, oder eine sichere Online-Verifikation. In Deutschland ist seit Anfang 2025, zumindest für deutsche Staatsangehörige, nicht mal mehr das erforderlich. Das Kopieren eines Ausweisdokuments verstößt ohnehin EU-weit gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Darüber hinaus birgt die Kopie ein unnötiges Risiko für Identitätsdiebstahl, so die spanische Behörde.
Und prompt tauchten im Darknet über 160.000 Scans von Ausweisen, Reisepässen und Führerscheinen auf, die vor allem in teureren Hotels in Italien und auf Mallorca gestohlen wurden. Die Ausweise werden im Darknet für je rund 50 Cent zum Verkauf angeboten. Allein 38.000 Ausweise stammen aus einem einzigen Edelhotel in Venedig, das nur 50 Zimmer hat - die Gästedaten müssen also jahrelang zurückreichen. Mögliche Käufer könnten die gestohlenen Ausweisfotos verwenden, um z.B. betrügerische Einkäufe zu tätigen oder unter falschem Namen ein Konto zu eröffnen. Auch in Italien gilt, dass sich Hotelgäste zwar mit einem Ausweisdokument beim Check-In identifizieren sollen; die Hotels sollen die personenbezogenen Daten aber nach der Weitergabe an die zuständige Behörde sofort vernichten...
In Köln gab es ein Urteil in Sachen Facebook-Fanpage der Bundesregierung: Diese hatte ja gegen den Bescheid des vormaligen Bundesdatenschutzbeauftragte Ulrich Kelber geklagt, der eine Einstellung verfügt hatte. Das Verwaltungsgericht Köln gab nun dem Presse- und Informationsamt der Bundesregierung recht und die Bundesregierung darf auf ihrer Facebook-Fanpage weiter über die aktuellen politischen Tätigkeiten der Bundesregierung informieren. Das Urteil ist noch nicht rechtskräftig. Knackpunkt waren die Cookies, die auf den Geräten der Besucher platziert werden. Das Gericht befand, für die Einholung von Einwilligungen zum Setzen von Cookies sei Meta verantwortlich, und nicht das Bundespresseamt. Zwischen dem Betrieb der Seite und dem Zugriff auf Nutzerendgeräte durch Cookies besteht laut Urteil kein hinreichender Zusammenhang; auch eine gemeinsame datenschutzrechtliche Verantwortlichkeit liegt demnach nicht vor.
Das OLG Frankfurt am Main wiederum befasste sich mit einer Klage der Verbraucherzentrale gegen die Deutsche Bahn: Diese hat seit einer Weile beim Verkauf von Sparpreis- und Super-Sparpreis-Tickets eine E-Mail-Adresse oder Telefonnummer als Pflichtangabe abgefragt. Die Verbraucherzentrale klagte dagegen, dass die günstigen Tickets nur digital und ohne analoge Alternativen angeboten werden. Das Gericht gab der Klage statt: Die Verarbeitung personenbezogener Daten ist rechtswidrig, wenn keine gleichwertige Möglichkeit besteht, Tickets ohne Datenangabe zu erwerben. Solange analoge Vertriebswege fehlten, liegt keine freiwillige Einwilligung der Kunden vor. Denn die Bahn zwingt ihre Kunden damit, ein E-Mail-Konto zu eröffnen oder ein Handy zu kaufen und ihre Daten anzugeben. Diese Datenpreisgabe ist nicht erforderlich zur Erfüllung des Beförderungsvertrags und auch nicht, um berechtigte Interessen der Bahn umzusetzen. Das Argument der Bahn, die digitale Zugangshürde sei die „wirtschaftlich sinnvollste Alternative“, genügt nicht, um den mit ihr verbundenen Eingriff in das Grundrecht auf Datenschutz zu rechtfertigen. Auch der hessische Datenschutzbeauftragte begrüßte die Entscheidung.
Die Landesdatenschutzbeauftragte von NRW hat ausführlich beschrieben, was Arbeitgeber wissen und machen können, wenn Mitarbeiter länger krank sind, um die Fortzahlung von deren Lohn zu prüfen. Vor allem ist relevant, ob eine Erkrankung über sechs Wochen hinaus andauert oder ob es zu mehreren Erkrankungen innerhalb kurzer Zeit kommt. Dazu braucht der Arbeitgeber jedoch Zugang zu besonders sensibel geschützten Gesundheitsdaten. Kurz gefasst empfiehlt sie: Da der Mitarbeiter abhängig vom Arbeitgeber ist, kann in der Regel nicht von einer freiwilligen Einwilligung zur Datenweitergabe ausgegangen werden. Als mildere Mittel wird empfohlen, Kontakt zur Krankenkasse aufzunehmen, die beurteilen kann, ob es sich um mehrere, voneinander getrennte oder eine fortgesetzte Krankheit handelt, oder den Betriebsarzt um eine grobe Einschätzung zu bitten. Der Umgang mit (konkreten) Gesundheitsdaten bei Entgeltfortzahlungsansprüchen erfordert auch besonders hohe Anforderungen an Sicherheit und Vertraulichkeit: Zu den angemessenen technischen und organisatorischen Maßnahmen gehört z.B., die betreffenden Daten getrennt von der eigentlichen Personalakte aufzubewahren – und auch nur so lange, wie sie für die Prüfung des Entgeltfortzahlungsanspruchs erforderlich sind.
Der Europäische Datenschutzbeauftragte hat das Verfahren zur Nutzung von Microsoft 365 durch die EU-Kommission nun offiziell abgeschlossen. In seiner Entscheidung vom 8. März 2024 hatte er mehrere Datenschutzverstöße festgestellt und der Kommission konkrete Abhilfemaßnahmen auferlegt. Die EU-Kommission nahm tiefgreifende technische, organisatorische und vertragliche Anpassungen vor. So hat sie die verarbeiteten Datenarten und die Zwecke der Verarbeitung klar definiert und vertraglich, technisch sowie organisatorisch abgesichert. Microsoft und seine Unterauftragnehmer dürfen personenbezogene Daten nur auf dokumentierte Anweisung und für bestimmte Zwecke im öffentlichen Interesse verarbeiten. Übermittlungen außerhalb des Europäischen Wirtschaftsraums sind auf die im geänderten Vertrag aufgeführten Länder beschränkt und beruhen entweder auf Angemessenheitsbeschlüssen oder auf der Ausnahmeregelung aus wichtigen Gründen des öffentlichen Interesses. Das Durchsetzungsverfahren wurde daraufhin eingestellt. Der Europäische Datenschutzbeauftragte hat jedoch nur die Einhaltung der EU-Verordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr“ geprüft – die DSGVO war nicht Teil seiner Prüfung, denn die falle „in die ausschließliche Zuständigkeit der nationalen Datenschutzbehörden“. Und so könnten weiter zahlreiche Daten in die USA abfließen.
Und zu guter Letzt ein bisschen Eigenwerbung: In Frankreich wurde die wirtschaftliche Bedeutung von Datenschutzbeauftragten untersucht - und die kann sich sehen lassen: In Ausschreibungsverfahren steigert ein Datenschutzbeauftragter nachweislich das Vertrauen, insbesondere bei Projekten, die personenbezogene Daten betreffen: 42 % der Befragten berichteten von spürbaren Wettbewerbsvorteilen. Auch die Vermeidung von Sanktionen - 2024 verhängte die CNIL 87 Bußgelder in Höhe von insgesamt 55 Millionen Euro - und die Reduzierung von Cyberrisiken zählen zu den wichtigsten Effekten: So sank etwa die Klickrate auf Phishing-Mails nach gezielten internen Schulungen von 21 % auf 5 %. Darüber hinaus kann eine datenschutzgerechte Datenminimierung die Betriebskosten reduzieren und die IT-Sicherheit stärken. Unternehmen, die ihre Datenschutzbeauftragten mit ausreichenden Ressourcen ausstatten, erzielen der Studie zufolge den höchsten ökonomischen Nutzen.