Schlagwort: personenbezogene daten

Personenbezogene Daten sind Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Adresse, Geburtsdatum, Kontaktdaten, aber auch biometrische Daten oder Informationen über die Gesundheit einer Person.

Der Begriff der personenbezogenen Daten ist im Datenschutzrecht von großer Bedeutung, da er die Grundlage für den Schutz personenbezogener Daten bildet. Das Recht auf Schutz personenbezogener Daten ist ein Grundrecht, das in der EU durch die Datenschutz-Grundverordnung (DSGVO) und in Deutschland durch das Bundesdatenschutzgesetz (BDSG) geschützt wird.

Die DSGVO und das BDSG regeln, welche personenbezogenen Daten von Unternehmen und Behörden verarbeitet werden dürfen und welche Pflichten diese haben, um den Schutz personenbezogener Daten zu gewährleisten. Unternehmen müssen unter anderem eine Datenschutzerklärung bereitstellen, in der sie erläutern, welche personenbezogenen Daten sie erheben und wie diese verarbeitet werden. Personen haben das Recht, Auskunft über ihre gespeicherten Daten zu erhalten und können in bestimmten Fällen auch die Löschung oder Berichtigung ihrer Daten verlangen.

Die Verarbeitung personenbezogener Daten ohne Einwilligung oder Rechtsgrundlage ist rechtswidrig und kann mit hohen Strafen, einschließlich Geld- und Freiheitsstrafen, geahndet werden. Unternehmen sollten daher sicherstellen, dass sie die geltenden Datenschutzbestimmungen einhalten, um den Schutz personenbezogener Daten zu gewährleisten und mögliche rechtliche Konsequenzen zu vermeiden. Ein auf Datenschutzrecht spezialisierter Rechtsanwalt kann Unternehmen in Fragen des Datenschutzes beraten und unterstützen.

Schatten-KI im Betrieb
Während Schatten-IT – also die Nutzung nicht autorisierter Software oder Hardware – bereits seit Längerem bekannt ist, gewinnt nun ein verwandtes Phänomen an Bedeutung: Schatten-KI. Gemeint ist der Einsatz künstlicher Intelligenz durch Mitarbeiter ohne Wissen oder Genehmigung der Unternehmensführung.
Eine aktuelle Umfrage zeigt auf, dass ein beträchtlicher Teil der Fachkräfte, insbesondere in MINT-Berufen, KI-Tools wie ChatGPT, Google Gemini oder andere generative Systeme im Arbeitsalltag nutzt, oft ohne dass dies von der IT-Abteilung oder Geschäftsleitung autorisiert wurde. Die Rede ist hier von drei von vier MINT-Fachkräften (77 Prozent). Durch einen solchen (unkontrollierten) Einsatz werden nicht nur technische, sondern vor allem rechtliche und organisatorische Fragen aufgeworfen.
Hinweis/Update: Zu dem Thema habe ich dem IT-Fachmagazin t3n im Juni 2026 ein Interview gegeben.
(mehr …)
22. Juni 2026
MOVEit-Datenleck und DSGVO-Haftung im Sozialrecht
Wer Opfer eines Hackerangriffs wird, sieht sich schnell selbst auf der Anklagebank: Geschädigte verlangen Schmerzensgeld, und der naheliegende Gedanke lautet, dass schon der erfolgreiche Angriff den Beweis für lückenhafte Sicherheit liefere. Genau dieser Schluss ist falsch – das Sozialgericht Nürnberg hat ihn mit Endurteil vom 10.06.2026 (Az. S 5 SF 65/24 DS) im Zusammenhang mit dem weltweiten MOVEit-Datenleck zurückgewiesen und die Klage einer Versicherten gegen ihre Krankenkasse und deren Auftragsverarbeiter vollständig abgewiesen.
(mehr …)
22. Juni 2026
UN-Übereinkommen zur Bekämpfung von Cyberkriminalität verabschiedet (Update 2026)
Am 8. August 2024 haben die Vereinten Nationen nach intensiven Verhandlungen den Text für ein neues, globales Übereinkommen zur Bekämpfung von Cyberkriminalität verabschiedet. Dieses Abkommen markiert einen bedeutenden und damit auch durchaus kritischen Schritt in der internationalen Zusammenarbeit gegen kriminelle Aktivitäten im digitalen Raum.
Was nun im Jahr 2024 noch ein Verhandlungstext war, ist seit Herbst 2025 ein unterschriebener völkerrechtlicher Vertrag – und damit für Strafverteidigung und IT-Recht keine ferne Brüsseler oder New Yorker Angelegenheit mehr, sondern eine konkrete Perspektive grenzüberschreitender Datenherausgabe. Die UN-Generalversammlung verabschiedete das Übereinkommen zur Bekämpfung von Cyberkriminalität am 24. Dezember 2024 mit der Resolution 79/243. Seither hat sich entscheidend etwas bewegt: Der Vertrag wurde am 25. und 26. Oktober 2025 in Hanoi zur Unterzeichnung aufgelegt, weshalb er heute meist schlicht „Hanoi-Konvention“ heißt. In Kraft ist er allerdings noch nicht – und genau in dieser Schwebephase entscheidet sich, wie scharf das Instrument am Ende wird.
Das Abkommen zielt darauf ab, Straftaten wie illegale Zugriffe auf IT-Systeme, Dateninterferenzen, die Verbreitung von schädlicher Software, Identitätsdiebstahl, Kinderpornografie, und andere Formen von Cyberkriminalität zu verhindern und zu bestrafen. Weiterhin – und hier liegen ganz besondere Gefahren – fördert es den Austausch von elektronischen Beweismitteln und stärkt die internationale Zusammenarbeit bei Ermittlungen, einschließlich der gegenseitigen Rechtshilfe und Auslieferung. Das Übereinkommen legt großen Wert auf den Schutz von Opfern und auf Maßnahmen zur Beschlagnahme und Einziehung von Vermögenswerten, die durch Cyberkriminalität erlangt wurden.
Hinweis: Beachten Sie dazu meinen Kommentar bei Beck-Aktuell. Ich habe den Beitrag im Juni 2026 zuletzt aktualisiert.
(mehr …)
11. Juni 2026
Privacy by Design und Mangelhaftung: Wenn nicht-datenschutzkonforme Software den Käufer trifft
Stellen Sie sich vor, ein mittelständisches Unternehmen kauft für teures Geld eine Personalverwaltungssoftware – modern, funktional, vom etablierten Anbieter. Zwei Jahre später steht die Aufsichtsbehörde im Haus, weil sich Bewerberdaten nicht löschen lassen, jeder Sachbearbeiter sämtliche Personalakten einsehen kann und im Hintergrund Datenbestände schlummern, von denen niemand wusste. Das Bußgeld trifft nicht den Hersteller, sondern den Käufer. Genau hier liegt der wunde Punkt, an dem datenschutzfreundliche Technikgestaltung von einer abstrakten Programmieridee zum handfesten wirtschaftlichen Risiko wird – und an dem sich entscheidet, wer am Ende für die Versäumnisse haftet.
(mehr …)
4. Juni 2026
Cyberangriff auf Unternehmen
Was in den ersten Stunden nach einem Cyberangriff über Schaden und Haftung entscheidet
Am Stuttgarter Staatstheater stand Anfang 2026 plötzlich ein Mann am Telefon, den niemand bestellt hatte: ein Verhandler, der zwischen einem öffentlichen Kulturbetrieb und einer Erpressergruppe vermitteln sollte. Die ZEIT hat den Fall im Januar nachgezeichnet – verschlüsselte Systeme, eine Lösegeldforderung in Kryptowährung, ein Prozess vor dem Landgericht, und am Ende die nüchterne Erkenntnis, dass die Täter sich verhalten wie scheue Wildtiere, die beim kleinsten Fehler verschwinden. Was sich liest wie ein Krimi, ist für die deutsche Wirtschaft längst Alltag. Und es trifft nicht mehr nur die Konzerne, sondern mit voller Wucht den Mittelstand.
Der Bitkom beziffert den jährlichen Schaden durch Datendiebstahl, Spionage und Sabotage für 2025 auf 289,2 Milliarden Euro, davon über 200 Milliarden allein durch Cyberattacken. 87 Prozent der Unternehmen waren betroffen. Das Bundesamt für Sicherheit in der Informationstechnik registrierte zuletzt täglich 119 neue Schwachstellen – ein Zuwachs von fast einem Viertel binnen eines Jahres. Wer in dieser Lage glaubt, ein gut gemeinter Notfallplan im Aktenordner reiche aus, hat die eigentliche Dynamik eines Angriffs nicht verstanden.
Ich selbst habe umfangreich fachlich zu dem Thema publiziert: zur Haftung der Geschäftsleitung, Haftungsverteilung im Schadensfall beim CEO-Fraud, dem Recht der Cyberversicherungen – aber auch zu Erscheinungsformen modernen Cybercrimes.
(mehr …)
1. Juni 2026
Gefälschte IBAN, echter Verlust: Haftung bei gefälschter Rechnung per Mail
Ein 76-jähriger Rentner überweist gut 109.000 Euro für 42 Goldbarren – und das Geld landet bei Kriminellen, weil eine abgefangene E-Mail eine fremde Kontonummer trug. Wer in der Erwartung lebt, mit der Überweisung sei seine Pflicht erledigt, erlebt in solchen Fällen ein böses Erwachen: Das Geld ist weg, der Verkäufer fordert weiter, und niemand möchte den Schaden tragen. Genau diese Konstellation hatte das Landgericht Karlsruhe mit Urteil vom 20. Mai 2026 (Az. 8 O 266/25) zu entscheiden – und es entschied konsequent zu Lasten des Zahlenden.
Ich habe mich der Thematik, speziell der Problematik der Erfüllungswirkung beim CEO Fraud unter anderem in meinen Veröffntlichungen in Ferner, jurisPR-ITR 5/2026 Anm. 6 und Ferner, jurisPR-ITR 2/2025 Anm. 6 gewidmet.
(mehr …)
30. Mai 2026
„Im besten Netz“ als Netzbetreiberkennung ist unzumutbare Belästigung
Mit Urteil vom 27. März 2026 hat die 8. Kammer für Handelssachen des Landgerichts Düsseldorf (Az. 38 O 32/26) eine einstweilige Verfügung gegen die Telekom Deutschland GmbH bestätigt, mit der dem Konzern untersagt wird, die auf den Mobilfunkendgeräten seiner Kunden angezeigte Netzbetreiberkennung „telekom.de“ mittels Over-the-Air-Update durch den werblichen Slogan „Im besten Netz“ zu ersetzen und hierfür personenbezogene Daten ohne Einwilligung zu verarbeiten.
Die Entscheidung ist in mehrfacher Hinsicht interessant: Sie konkretisiert die offene Generalklausel des § 7 Abs. 1 UWG für eine neuartige, technisch vermittelte Werbeform im höchstpersönlichen Lebensbereich und positioniert sich zugleich in der weiterhin ungeklärten Frage, über welche lauterkeitsrechtliche Brücke Datenschutzverstöße in das UWG hineingetragen werden.
(mehr …)
12. Mai 2026
Europols Schatten-IT: Wie die EU-Polizeibehörde jahrelang am Datenschutz vorbei ermittelte
Eine internationale Recherche von Solomon, CORRECTIV und Computer Weekly hat nun offengelegt, was schon länger gemunkelt wurde: dass Europol über Jahre hinweg eine parallele IT-Infrastruktur betrieben hat, in der sensibelste personenbezogene Daten ohne die rechtlich vorgeschriebenen Sicherheits- und Datenschutzmechanismen verarbeitet wurden. Im Zentrum des Vorgangs steht nicht nur ein technisches Versagen, sondern die Frage, wie eine europäische Sicherheitsbehörde sich dem Zugriff ihrer eigenen Aufsicht entziehen konnte.
(mehr …)
11. Mai 2026
KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden
KI steht aktuell vorwiegend für Chatbots, die Texte schreiben oder Präsentationen vorbereiten, doch die wirklich brisante Entwicklung spielt sich an anderer Stelle ab: bei agentischen KI‑Systemen, die nicht nur antworten, sondern handeln – E‑Mails verschicken, Software installieren, Konfigurationen ändern, Kalender pflegen und eigenständig im Unternehmensnetzwerk operieren. Die neue Frage im Umgang mit KI sollte daher nicht mehr zentral sein, ob eine KI halluziniert, sondern was passiert, wenn ein solcher Agent mit weitreichenden Rechten Fehler macht, manipuliert wird oder schlicht „kreative“ Wege zur Zielerreichung wählt.
(mehr …)
14. März 2026
Gesetzentwurf zur Stärkung der Cybersicherheit 2026
In einem aktuellen Entwurf eines „Gesetzes zur Stärkung der Cybersicherheit“ wird den Schwerpunkt der deutschen Cyberpolitik spürbar in Richtung einer aktiven Gefahrenabwehr im Netz verschoben – mit massiven neuen Befugnissen für BKA, Bundespolizei und BSI, aber auch mit spürbaren Folgen für Unternehmen und offene Fragen für Bürgerrechte.
(mehr …)
1. März 2026
Aufnahmen mit Smarten Brillen kein taugliches Beweismittel
Das Oberlandesgericht Köln hat mit Urteil vom 14. März 2025 (6 U 82/24) eine Entscheidung getroffen, die nicht nur für den gewerblichen Rechtsschutz, sondern auch für die allgemeine Beweisführung im Zivilprozess von Bedeutung ist: Im Mittelpunkt stand die Frage, ob heimlich mit einer als Brille getarnten Kamera angefertigte Videoaufnahmen als Beweismittel verwertbar sind – ein Thema, das angesichts der zunehmenden Verbreitung tragbarer Aufzeichnungstechnologien an Relevanz gewinnt. Der Fall betraf die unberechtigte öffentliche Wiedergabe eines Champions-League-Spiels in einer Gaststätte und wirft grundsätzliche Fragen zur Abwägung zwischen Persönlichkeitsrechten und dem Interesse an effektiver Rechtsdurchsetzung auf.
Ich kommentiere die Strafbarkeit der Verwendung Smarter Brillen im Rahmen von § 8 TDDDG im BeckOK-StPO: Die Norm wird bei sogenannten smarten Brillen noch eine deutliche Rolle zu spielen haben, auch wenn die Norm vorliegend mangels Sendefunktion nicht relevant war. In der Literatur gehöre ich zu den Skeptikern, da ich der Auffassung bin, dass der Einbau einer einfachen, nicht generell wahrnehmbaren LED keinen Schutz vor einer Strafbarkeit bietet.
(mehr …)
9. Februar 2026
Informationsfreiheit vs. Steuergeheimnis: Zugang zu Cum/Cum-Dokumenten
Die Diskussion um Cum/Cum-Geschäfte und ihre steuerlichen Folgen ist seit Jahren ein politisch und rechtlich brisantes Thema. Während Finanzbehörden und Banken um Transparenz ringen, versuchen Journalisten, Wissenschaftler und Aktivisten, durch Informationsfreiheitsgesetze Einblick in interne Unterlagen zu erhalten. Doch wo liegen die Grenzen des Informationszugangs, wenn es um steuerrelevante Vorgänge geht? Das Oberverwaltungsgericht Münster hat in einem aktuellen Beschluss vom 27. Januar 2026 (Az. 15 E 560/25) klargestellt, unter welchen Bedingungen der Verwaltungsrechtsweg für solche Anfragen eröffnet ist – und wann das Steuergeheimnis nicht greift.
(mehr …)
9. Februar 2026
Databroker Files & ADINT: Smartphones als frei verfügbares Spionagewerkzeug
Aktuelle Enthüllungen, die französische, deutsche und internationale Journalisten im Dezember 2025 unter dem Titel Databroker Files veröffentlicht haben, zeigen ein Sicherheitsproblem von historischer Dimension: Sie belegen in krasser Form, wie Werbe- und Standortdaten, eigentlich für „personalisiertes Marketing“ erhoben, eingesetzt werden könnten, um Geheimdienstmitarbeiter, Militärangehörige und selbst das unmittelbare Umfeld von Präsident Emmanuel Macron bis an die private Haustür zu verfolgen.
Es geht nicht mehr nur um die Gefährdung der Privatsphäre Einzelner, sondern um die nationale und europäische Sicherheit insgesamt. Speziell durch ADINT. werden immer mehr Überwachungen möglich. und fernab der Öffentlichkeit hat sich hier ein für Geheimdienste und Ermittler. lohnendes Grenzgebiet Überwachungsmarktplatz gebildet. etabliert. Darin kann man auch ein Musterbeispiel für den Irrtum über die vermeintlich „langweiligen Daten“ des Einzelnen erkennen. Der Beitrag wurde im Februar 2026 nochmals aktualisiert.
(mehr …)
3. Februar 2026
Datenschutz von Mietern beim Immobilienverkauf
Der Verkauf einer vermieteten Immobilie wirft regelmäßig Fragen nach dem Umgang mit personenbezogenen Daten der Mieter auf und das Zweibrücken (Aktenzeichen 5 U 82/24) konnte dazu in aktuellem Urteil vom 9. Dezember 2025 herausarbeiten, welche Rechte Mieter gegenüber Maklern und Immobilienvermittlern geltend machen können, wenn im Rahmen des Verkaufsprozesses Fotos der Wohnräume angefertigt und veröffentlicht werden.
Es geht dabei nicht nur um die Reichweite der datenschutzrechtlichen Einwilligung, sondern auch die Grenzen von Auskunftsansprüchen und Schadensersatzforderungen nach der Datenschutz-Grundverordnung (DSGVO). Besonders zu beachten ist die Entscheidung, weil sie aufzeigt, wie Gerichte die Spannung zwischen wirtschaftlichen Interessen der Vermarktung und dem Schutz der Privatsphäre von Mietern versuchen aufzulösen.
(mehr …)
30. Januar 2026
Heimliche Aufnahmen in Saunen: Gesetzesinitiative zur Schließung strafrechtlicher Schutzlücken 2026
Ein Mann filmt heimlich zwei Frauen in einer Leipziger Sauna. Die Polizei sichert das Handy samt Aufnahmen. Doch die Staatsanwaltschaft stellt das Verfahren ein – mangels Strafbarkeit. Der Fall vom Juli 2025 hat eine rechtspolitische Debatte ausgelöst, die nun in eine konkrete Gesetzesinitiative mündet. Bundesjustizministerin Stefanie Hubig und die Justizminister aus Niedersachsen und Nordrhein-Westfalen wollen die Schutzlücke schließen, wie Tagesschau und NOZ berichten. Doch der Vorstoß ist umstritten und wirft grundsätzliche Fragen über die Grenzen des Strafrechts auf.
Ich möchte darauf im Folgenden etwas umfassender eingehen, auch vor dem Hintergrund, dass ich umfangreiche Erfahrung als Strafverteidiger mitbringe, wenn es um heimliche Aufnahmen und entsprechende Taten geht – aber auch mit technischem Hintergrund blickend auf die Frage, ob zu viel kriminalisiert werden kann.
(mehr …)
24. Januar 2026