Anwaltskanzlei Ferner Alsdorf - Kanzlei für moderne Strafverteidigung & IT-Recht

Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)

Kategorie: DSGVO-Strafrecht

  • Databroker Files & ADINT: Smartphones als frei verfügbares Spionagewerkzeug

    Databroker Files & ADINT: Smartphones als frei verfügbares Spionagewerkzeug

    Aktuelle Enthüllungen, die französische, deutsche und internationale Journalisten im Dezember 2025 unter dem Titel Databroker Files veröffentlicht haben, zeigen ein Sicherheitsproblem von historischer Dimension: Sie belegen in krasser Form, wie Werbe- und Standortdaten, eigentlich für „personalisiertes Marketing“ erhoben, eingesetzt werden könnten, um Geheimdienstmitarbeiter, Militärangehörige und selbst das unmittelbare Umfeld von Präsident Emmanuel Macron bis an die private Haustür zu verfolgen.

    Es geht nicht mehr nur um die Gefährdung der Privatsphäre Einzelner, sondern um die nationale und europäische Sicherheit insgesamt. Speziell durch ADINT. werden immer mehr Überwachungen möglich. und fernab der Öffentlichkeit hat sich hier ein für Geheimdienste und Ermittler. lohnendes Grenzgebiet Überwachungsmarktplatz gebildet. etabliert. Darin kann man auch ein Musterbeispiel für den Irrtum über die vermeintlich „langweiligen Daten“ des Einzelnen erkennen. Der Beitrag wurde im Februar 2026 nochmals aktualisiert.

    (mehr …)
  • Fake-Profile und Auskunftsansprüche

    Fake-Profile und Auskunftsansprüche

    In einer Entscheidung des Landgerichts Koblenz vom 25. August 2025 (2 O 1/25) werden Fragen zur Durchsetzung zivilrechtlicher Ansprüche bei der Verletzung absolut geschützter Rechte durch Fake-Profile in sozialen Medien thematisiert: Im Mittelpunkt steht die Auslegung des § 21 Abs. 2 TDDDG, der die Voraussetzungen für Auskunftsansprüche gegen Diensteanbieter regelt. Das Gericht verneint einen Anspruch auf Auskunftserteilung, wenn es sich nicht um audiovisuelle Inhalte im engeren Sinne handelt. Die Entscheidung zeigt die Lücken im aktuellen Rechtsschutz auf und unterstreicht die Notwendigkeit einer gesetzgeberischen Anpassung.

    Hinweis: Ich kommentiere Teil des TDDDG im BeckOK-StPO und bespreche ausgewählte Aspekte des §21 TDDDG im Rahmen meiner Kommentierung des §22 TDDDG bei BeckOK StPO/Ferner TDDDG § 22 Rn. 5-12

    (mehr …)
  • Verhaltensbedingte Kündigung wegen gelöschter Katzenfotos

    Verhaltensbedingte Kündigung wegen gelöschter Katzenfotos

    Die Frage, ob das Löschen betrieblicher Daten einen wichtigen Grund für eine fristlose Kündigung darstellen kann, ist in der arbeitsrechtlichen Praxis von hoher Relevanz. Besonders brisant wird es, wenn der Vorwurf auf Indizien beruht und der Arbeitgeber den Sachverhalt nicht hinreichend aufklärt. Das Arbeitsgericht Bocholt hat in einem aktuellen Urteil (1 Ca 459/25) entschieden, dass eine außerordentliche Kündigung wegen angeblich gelöschter Dateien unwirksam ist, wenn der Arbeitgeber den Tatvorwurf nicht substantiiert darlegt und den Arbeitnehmer nicht vorher anhört.

    (mehr …)
  • CLOUD Act und EU-eEvidence VO im Vergleich

    CLOUD Act und EU-eEvidence VO im Vergleich

    Europa bekommt die eEvidence-Verordnung, mit der auch grenzüberschreitende Zugriffe auf Daten möglich sind. Nun darf man fragen, ob das mit dem US Cloud Act vergleichbar ist … und vor allem: Taugt das zur Entschärfung der Kritik am US Cloud Act? Zwar bewegen sich der US CLOUD Act und die EU-eEvidence-Verordnung im selben Themenkomplex, dem grenzüberschreitenden Zugriff auf elektronische Beweismittel, in ihrer Logik und in ihren Folgen für die Datensouveränität sind sie jedoch grundverschieden. Gerade deshalb verbietet sich eine Gleichsetzung, wie ich in einem Nebensatz kürzlich auch in einem Beitrag bei BeckNews klargestellt habe. Der CLOUD Act bleibt für europäische Akteure deutlich gefährlicher, auch wenn eEvidence die Schwelle für staatlichen Zugriff innerhalb der EU absenkt.

    (mehr …)
  • Vorlage des BGH an den EuGH: Dynamische IP-Adressen in der DSGVO

    Vorlage des BGH an den EuGH: Dynamische IP-Adressen in der DSGVO

    Der BGH (VI ZR 258/24) hat dem Gerichtshof der Europäischen Union (EuGH) drei zentrale Fragen zur Vorabentscheidung vorgelegt, die nicht nur die juristische Debatte um den Personenbezug dynamischer IP-Adressen neu entfachen, sondern auch die Reichweite von Schadensersatzansprüchen nach Art. 82 DSGVO kritisch hinterfragen. Im Kern geht es um die Spannung zwischen technischer Realität, unionsrechtlichen Schutzstandards und der Gefahr missbräuchlicher Anspruchsgeltendmachung. Die Vorlage berührt die Praxis tausender Website-Betreiber, die sich mit automatisierten Abmahnungen konfrontiert sehen.

    (mehr …)
  • Zeitliche Anwendbarkeit der DSGVO bei Scraping-Fällen

    Zeitliche Anwendbarkeit der DSGVO bei Scraping-Fällen

    Ein zentrales datenschutzrechtliches Problem stellt längst das sogenannte Scraping dar: der automatisierte Abgriff öffentlich zugänglicher Nutzerdaten durch Dritte. Das Oberlandesgericht München hat in einem aktuellen Urteil (36 U 1368/24) klargestellt, dass Plattformbetreiber wie Facebook eine sekundäre Darlegungslast trifft, wenn es um die zeitliche Einordnung von Datenschutzvorfällen geht. Die Entscheidung betont, dass Betreiber als „Herr der Technik“ detailliert vortragen müssen, wann genau ein Datenleak stattfand, um die Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) zu klären. Dies ist besonders relevant, da die DSGVO erst seit dem 25. Mai 2018 gilt und viele Verstöße in einer rechtlichen Grauzone zwischen alter und neuer Rechtslage liegen.

    Der Fall wirft grundsätzliche Fragen auf: Wann haftet ein soziales Netzwerk für unzureichende Sicherheitsvorkehrungen? Welche Pflichten ergeben sich aus dem Grundsatz der datenschutzfreundlichen Voreinstellungen? Und wie ist der immaterielle Schaden zu bemessen, wenn Nutzerdaten durch Scraping in Umlauf geraten? Das Urteil zeigt, dass Gerichte zunehmend strenge Maßstäbe an die Transparenz und technische Absicherung von Plattformen anlegen – selbst wenn die Daten theoretisch öffentlich einsehbar waren.

    Beachten Sie auch, dass die Entscheidung – unter Bezug auf meine Besprechung – bei „heise online“ aufgegriffen wurde.

    (mehr …)
  • DSGVO und Auftragsverarbeitung: BGH zur Haftung bei Datenlecks nach Vertragsende

    DSGVO und Auftragsverarbeitung: BGH zur Haftung bei Datenlecks nach Vertragsende

    Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an die Verarbeitung personenbezogener Daten – doch was passiert, wenn ein Auftragsverarbeiter die Daten nach Vertragsende nicht wie vereinbart löscht? Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 11. November 2025 (VI ZR 396/24) klargestellt, dass Verantwortliche auch nach Beendigung einer Auftragsverarbeitung sicherstellen müssen, dass keine personenbezogenen Daten beim Dienstleister verbleiben. Andernfalls drohen Schadensersatzansprüche, selbst wenn die Daten bereits zuvor kompromittiert wurden. Man sieht hier die strengen Pflichten von Unternehmen, die externe Dienstleister mit der Datenverarbeitung beauftragen, und setzt ein deutliches Signal für die Praxis.

    (mehr …)
  • Schatten-KI im Betrieb

    Schatten-KI im Betrieb

    Während Schatten-IT – also die Nutzung nicht autorisierter Software oder Hardware – bereits seit Längerem bekannt ist, gewinnt nun ein verwandtes Phänomen an Bedeutung: Schatten-KI. Gemeint ist der Einsatz künstlicher Intelligenz durch Mitarbeiter ohne Wissen oder Genehmigung der Unternehmensführung.

    Eine aktuelle Umfrage zeigt auf, dass ein beträchtlicher Teil der Fachkräfte, insbesondere in MINT-Berufen, KI-Tools wie ChatGPT, Google Gemini oder andere generative Systeme im Arbeitsalltag nutzt, oft ohne dass dies von der IT-Abteilung oder Geschäftsleitung autorisiert wurde. Die Rede ist hier von drei von vier MINT-Fachkräften (77 Prozent). Durch einen solchen (unkontrollierten) Einsatz werden nicht nur technische, sondern vor allem rechtliche und organisatorische Fragen aufgeworfen.

    (mehr …)
  • Vorsätzliches Löschen betrieblicher Daten als Kündigungsgrund

    Vorsätzliches Löschen betrieblicher Daten als Kündigungsgrund

    Die vorsätzliche Löschung betrieblicher Daten durch einen Arbeitnehmer stellt einen besonders schwerwiegenden Vertrauensbruch dar, der in der Regel eine fristlose Kündigung rechtfertigt. Doch wann ist der Tatbestand erfüllt, und welche Anforderungen stellt die Rechtsprechung an die Beweislast des Arbeitgebers?

    Das Landesarbeitsgericht Niedersachsen hat in einem aktuellen Urteil (14 Sa 80/25) klargestellt, dass das unbefugte Entfernen von E-Mails und Passworttabellen einen wichtigen Grund im Sinne des § 626 Abs. 1 BGB darstellen kann – selbst wenn die Daten theoretisch wiederherstellbar wären. Der Fall zeigt, wie schnell eine Vertrauensposition, insbesondere in sensiblen Bereichen wie der Buchhaltung, zerstört werden kann und welche Konsequenzen dies für beide Seiten hat.

    (mehr …)
  • Extreme Kameraüberwachung am Arbeitsplatz: 15.000 Euro Schmerzensgeld

    Extreme Kameraüberwachung am Arbeitsplatz: 15.000 Euro Schmerzensgeld

    Das Landesarbeitsgericht Hamm hat mit Urteil vom 28. Mai 2025 (Aktenzeichen: 18 Sa 959/24) eine überraschend harte Grenze für betriebliche Videoüberwachung gezogen. Ein Arbeitgeber, der seinen Mitarbeiter über 22 Monate hinweg nahezu flächendeckend mit 34 Kameras überwachte, muss nun 15.000 Euro Schmerzensgeld zahlen. Die Entscheidung zeigt nun, wie selbst offene Überwachungssysteme, die scheinbar der Sicherheit oder Diebstahlsprävention dienen, unverhältnismäßig sein können – und dass Arbeitnehmer in solchen Fällen ganz erhebliche Entschädigungsansprüche geltend machen können.

    (mehr …)
  • Haftungsrisiken und Compliance-Pflichten bei Ransomware-Angriffen

    Haftungsrisiken und Compliance-Pflichten bei Ransomware-Angriffen

    Ransomware-Angriffe gehören auch in aktuellen Studien zu den größten Bedrohungen für Unternehmen jeder Größe und Branche. Die Angriffe führen nicht nur zu operativen Stillständen und finanziellen Verlusten, sondern bergen auch erhebliche juristische Risiken – von strafrechtlichen Konsequenzen bis hin zu zivilrechtlichen Haftungsansprüchen. Für Führungskräfte ist es daher entscheidend, die rechtlichen Rahmenbedingungen zu verstehen, um im Ernstfall angemessen reagieren zu können. Dieser Beitrag fasst die zentralen Erkenntnisse aus der juristischen Diskussion zusammen und gibt einen Überblick über die wichtigsten Pflichten und Risiken.

    (mehr …)
  • Schadensersatz nach Art. 82 DSGVO

    Schadensersatz nach Art. 82 DSGVO

    Das Landgericht Darmstadt hat mit Urteil vom 10. Februar 2025 (Az. 10 O 109/23) klargestellt, dass ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO nicht bereits durch den bloßen Verstoß gegen datenschutzrechtliche Vorschriften entsteht. Vielmehr bedarf es eines substantiierten Vortrags zu einem konkreten, kausal auf den Verstoß zurückzuführenden Schaden – sei er materiell oder immateriell. Die Entscheidung unterstreicht die Grenzen pauschaler Behauptungen und zeigt auf, wann die Geltendmachung von Ansprüchen sogar als rechtsmissbräuchlich einzustufen sein kann.

    (mehr …)
  • Cybersecurity in der Software-Lieferkette

    Cybersecurity in der Software-Lieferkette

    Die jüngsten Angriffe auf die JavaScript-Bibliotheksplattform npm zeigen auf dramatische Weise, wie verwundbar moderne Software-Lieferketten sind. Ein selbstvermehrender Wurm namens Shai-Hulud hat Hunderte von Code-Paketen infiziert, Zugangsdaten gestohlen und diese öffentlich zugänglich gemacht. Für Unternehmen und ihre Führungskräfte wirft dies nicht nur technische, sondern auch erhebliche rechtliche und haftungsrelevante Fragen auf. Was ist passiert, welche Risiken bestehen für Unternehmen, und wie können sich Verantwortliche absichern?

    (mehr …)
  • DSGVO: Kontrollverlust über personenbezogene Daten – EUGH zum immateriellen Schaden

    DSGVO: Kontrollverlust über personenbezogene Daten – EUGH zum immateriellen Schaden

    Datenschutz als Grundrecht und seine praktischen Herausforderungen: Der Schutz personenbezogener Daten ist ein zentrales Grundrecht in der Europäischen Union, verankert in Artikel 8 der Charta der Grundrechte. Die Datenschutz-Grundverordnung (DSGVO) konkretisiert dieses Recht und schafft einheitliche Standards für die Verarbeitung personenbezogener Daten. Doch was passiert, wenn dieses Recht verletzt wird? Welche Ansprüche haben Betroffene, wenn sie die Kontrolle über ihre Daten verlieren – sei es durch unbefugte Weitergabe, Datenlecks oder andere Verstöße?

    Mit diesen Fragen setzte sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 4. September 2025 (C-655/23) auseinander. Der Fall betraf eine Bewerberin, deren vertrauliche Gehaltsverhandlungen durch einen Fehler einer Bank an einen Dritten weitergeleitet wurden. Die Entscheidung des EuGH klärt nicht nur die Voraussetzungen für Unterlassungsansprüche, sondern vor allem, wann ein immaterieller Schaden vorliegt und wie dieser zu entschädigen ist. Besonders relevant ist die Frage, ob bereits der Verlust der Kontrolle über die eigenen Daten einen ersatzfähigen Schaden darstellt – eine Thematik, die weit über den konkreten Fall hinausgeht und die Praxis des Datenschutzrechts prägen wird.

    (mehr …)
  • Strafbarkeit von Datenschutzverstößen

    Strafbarkeit von Datenschutzverstößen

    Wo beginnt die rote Linie des § 42 BDSG: Der Schutz personenbezogener Daten ist heute nicht nur eine Frage des Vertrauens, sondern auch des Rechts. Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und der Anpassung des Bundesdatenschutzgesetzes (BDSG) steht fest: Wer mit Daten leichtfertig umgeht, riskiert nicht nur Bußgelder, sondern unter Umständen auch strafrechtliche Konsequenzen. Doch wo genau verläuft die Grenze zwischen einem bloßen Verstoß gegen Datenschutzregeln und einer strafbaren Handlung? § 42 BDSG normiert diese Grenze – und wirft zugleich zahlreiche Fragen auf.

    (mehr …)