Löschung im Fokus der Aufsichtsbehörden – DS News KW 08/2026

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Wir starten wieder mit euch gemeinsam ins Wochenende und schauen natürlich zurück
auf die Woche des Datenschutzes, was ist alles passiert.
Heute ist Freitag, der 20. Februar 2026.
Unser Redaktionsschluss war um 9.30 Uhr. Mein Name ist Heiko Gossen und bei
mir begrüße ich Julia Kriwert.
Julia, wir haben heute wieder ein paar spannende Themen dabei.
Was hast du alles mitgebracht?
Ich habe heute dabei die DSK- bzw.
ETSA-Ergebnisse der CEF-Aktion 2025 zum Recht auf Löschung, ein Verfahren der
irischen Datenschutzbehörde gegen X wegen GROG Deepfakes,
einen versehentlichen Versand eines Downloadlinks, der zu einer Festnahme führte
und eine Sicherheitslücke bei Saugrobotern. Was hast du denn dabei?
Ich würde einmal nach Frankreich schauen, damit nämlich den Verlust von 1,2
Millionen Kontodaten zu beklagen.
Außerdem gibt es Änderungen bei der Domainabfrage der DENIC,
was dort angezeigt wird.
Außerdem habe ich mit dabei ein neues Zertifizierungsverfahren nach Artikel 42 DSGVO.
Das würde ich einmal berichten. Und last but not least eine nicht ganz unwichtige
Sicherheitslücke im Microsoft Windows Admin Center.
Also es ist abwechslungsreich, es ist einiges dabei. Ich hoffe, wir sehen was.
Und von daher, lass uns einsteigen.
Gerne. Der Europäische Datenschutzausschuss hat am 18.
Februar 2026 seinen Abschlussbericht zur europaweiten Prüfaktion zum Recht auf
Löschung veröffentlicht.
Im Rahmen des Coordinated Enforcement Framework 2025 haben 32 Datenschutzaufsichtsbehörden
764 Verantwortliche befragt, darunter 60 in Deutschland.
Das Recht auf Löschung zählt europaweit zu den am häufigsten ausgeübten betroffenen Rechten.
Gleichzeitig gehört es auch zu den Bereichen, zu denen besonders viele Beschwerden
bei den Aufsichtsbehörden eingehen.
Die Prüfaktion untersuchte daher, wie Organisationen Löscher suche organisatorisch
und technisch umsetzen, um zu ermitteln, wo in der Praxis typische Schwachstellen liegen.
Der Bericht zeigt auf, dass die Einhaltung stark von Größe, Branche und Komplexität
der Datenverarbeitung abhängt.
Als zentrale Herausforderung sind fehlende oder unklare interne Regelungen genannt worden.
Und teilweise ist nicht eindeutig festgelegt, wann eine Löschung erfolgen muss
und wie Ausnahmen geprüft werden.
Rechtsunsicherheiten bestehen insbesondere auch bei Aufbewahrungsfristen und
bei der Abwägung von Ausnahmetatbeständen.
Und auch die Löschung in Backups ist als praktisches Problem beschrieben worden.
In einigen Fällen fehlen vor allem regelmäßige Schulungen für Mitarbeitende,
die Löschersuche bearbeiten.
Der ETSA hat im Abschlussbericht Empfehlungen formuliert. Diese betreffen unter
anderem klare interne Prozesse, transparente Entscheidungswege und eine nachvollziehbare Dokumentation.
Zugleich dienen die Ergebnisse den Aufsichtsbehörden als Maßstab für ihre künftige Prüfpraxis.
Löschkonzepte, der Umgang mit Ausnahmen und die technische Umsetzung in Backup-Systemen
gehören erkennbar zu den sensiblen Punkten. Organisationen sollten daher prüfen,
ob ihre internen Vorgaben klar definiert, geschult und dokumentiert sind.
Denn einige Aufsichtsbehörden haben auf Basis der Erkenntnis bereits formelle
Untersuchungen eingeleitet oder fortgeführt und weitere Maßnahmen sind angekündigt worden.
Das Thema Löschung bleibt damit ein Schwerpunkt der europäischen Datenschutzaufsicht
und es empfiehlt sich somit, das Thema Löschung strategisch zu priorisieren.
Nicht nur wegen möglicher Bußgelder, sondern auch, weil Beschwerden und Prüfungen
in diesem Bereich besonders wahrscheinlich sind.
Der Bericht kann dabei als konkrete Orientierung dienen, wo interner Handlungsbedarf
bestehen kann. Es lohnt sich also, einen Blick hineinzuwerfen.
Würde ich auf jeden Fall auch so sehen. Also da reingucken und sich nochmal
fragen, wo sind in meinem eigenen Unternehmen eigentlich die Schwachstellen beim Thema Löschung.
Wir sehen das in unserer Beratung ja auch sehr häufig, dass das immer noch ein
eher stiefmütterlich behandeltes Thema ist. beziehungsweise jetzt so in den
letzten Jahren doch ein bisschen mehr zumindest in Fokus rückt.
Und auch das Thema Backups ist natürlich ein spannendes Thema,
weil natürlich, wenn man seine Backups sehr lange aufbewahren möchte,
dann muss man natürlich sich über die Löschung darin Gedanken machen.
Wobei ich ein großer Verfechter davon bin, zu sagen, ein Backup ist eigentlich
nur zur kurzfristigen Wiederherstellung sinnvoll und geeignet.
Also ich kenne wenige Unternehmen oder Fälle, wo man ältere Backups wirklich
wieder einspielt. Also da muss man dann wirklich auch überlegen,
wie lange ist so ein Backup wirklich erforderlich.
Das stimmt. Man merkt, man kann sich langsam nicht mehr verdrücken.
Nee, genau. Also da sollte man tunlichst sich darum kümmern.
Wie gesagt, gerade so, wenn man gewachsene Strukturen hat, vielleicht auch Systeme,
die schon sehr alt sind, ist das eine Herausforderung.
Keine Frage, aber man kommt nicht umhin. Ein Cyberangriff auf eine staatliche
Bankkontendatei in Frankreich hat die Daten von 1,2 Millionen Kontoinhabern offengelegt.
Das französische Wirtschafts- und Finanzministerium hat nämlich mitgeteilt,
dass sich Angreifer seit Ende Januar mit gestohlenen Zugangsdaten eines Beamten
Zugriff auf die nationale Bankkontendatei verschafft haben.
Die Täter haben demnach Namen, Adressen, Bankkontonummern und teilweise sogar
Steueridentifikationsnummern ausgelesen.
Die betroffene Datenbank wird von der Steuerverwaltung geführt und enthält Informationen
zu nahezu allen Bankkonten im Land.
Nach Angaben des Ministeriums haben die Angreifer aber keine Kontostände einsehen
können und auch keine Überweisungen auslösen können. Die Behörden haben den
Zugriff aber auch nach eigenen Angaben bereits gestoppt und natürlich auch Strafanzeige gestellt.
Und auch die französische Datenschutzaufsicht KNIL entsprechend dann gemeldet.
Ebenso sollen auch die Betroffenen informiert werden.
Entscheidend war offenbar kein technischer Systembruch, sondern die Kompromittierung
entsprechender Zugangsdaten ist natürlich, finde ich, wie gesagt,
auch hier in Deutschland ja so, dass Behörden Zugriffe auf Bankinformationen teilweise haben.
Und ja, auch da ist es natürlich so, auch Behörden sind anfällig und auch da arbeiten Menschen.
Dementsprechend kann man auch da natürlich nie ganz ausschließen,
dass da mal was passiert. Aber 1,2 Millionen, finde ich, ist schon eine Nummer.
Das stimmt. Verfahren der irischen Datenschutzbehörde gegen X wegen GROG Deepfakes.
Die irische Datenschutzbehörde, Data Protection Commission, auch DPC abgekürzt,
hat ein Verfahren gegen die europäische X-Tochter eingeleitet,
weil der KI-Dienst GROG sexualisierte Deepfake-Bilder erzeugt und Nutzer diese
ohne Einwilligung verbreitet haben.
Die Untersuchung gegen X Unlimited International Corporation in Dublin wurde
am Montag geöffnet und soll prüfen, ob das Unternehmen grundlegende Pflichten der DSGVO verletzt hat.
Die DPC untersucht insbesondere mögliche Verstöße gegen die Grundsätze rechtmäßiger
Datenverarbeitung und die Zulässigkeit der Verarbeitung personenbezogener Daten.
Zudem steht die Einhaltung von Datenschutz durch Technikgestaltung,
also Privacy by Design, und Datenschutzfolgenabschätzung im Fokus.
Die Vorwürfe betreffen sexualisierte oder anderweitig manipulierte Bilder,
die mit dem Grock-Tool erstellt worden sind und ohne Zustimmung der abgebildeten
Person öffentlich auf der Plattform X erschienen sind. Das Verfahren ist nicht
der erste regulatorische Schritt, Kontext grog.
Bereits zuvor hat die EU-Kommission ein eigenes Verfahren initiiert,
um Risiken im Zusammenhang mit dem KI-Tool unter dem Digital Service Act zu prüfen.
Die Entwicklungen zeigen also weiterhin, dass Plattformen und Unternehmen künftig
stärker dafür verantwortlich gemacht werden könnten, wie ihre KI-Systeme genutzt
oder auch missbraucht werden.
Für die Zukunft bedeutet das, dass Datenschutz bei der Entwicklung und Einführung
von KI-Anwendungen noch früher,
strukturierter und auch risikoorientierter berücksichtigt werden sollte.
Im Rahmen der NIST-2-Umsetzung hat die DENIG die Veröffentlichungspflichten
von Domain-Inhaber-Daten von Unternehmen ausgeweitet.
Während die Daten von Privatpersonen weiterhin geschützt bleiben sollen,
sind Informationen wie Anschrift und Kontaktmöglichkeiten von Unternehmen und
Organisationen nun wieder öffentlich in der sogenannten Who-is-Domain-Abfrage einsehbar.
Denn wie Heise berichtet, zielen diese Maßnahmen darauf ab, dass die Cybersicherheit
erhöht werden soll und eine schnelle Kontaktaufnahme bei rechtlichen und technischen
Problemen zu ermöglichen.
Denn, wichtig, nicht betroffen sind natürliche Personen.
Bei privat registrierten Domains bleiben die Inhammer-Daten also weiterhin geschützt.
Öffentlich sichtbar sind dort nur das Registrierungsdatum sowie die Daten des DENIX-Mitglieds.
Früher war das ja etwas anders, das hat man dann aber aus Datenschutzgründen eingeschränkt.
Jetzt macht man das zumindest für Unternehmensdaten, die ja
Jetzt wissen wir ja alle hier, die regelmäßig zuhören, dass natürlich die Unternehmensdaten
nicht zu den personenbezogenen Daten gehören und deswegen hat man sich dann
jetzt hier im Rahmen Lennis 2 Umsetzung für eine Öffnung entschieden.
Ab April 26 wird dann zudem ein automatisiertes Risk Assessment eingeführt,
das die Richtigkeit der hinterlegten Inhaberdaten systematisch überprüft.
Sollten also Registrierungsdaten dann als fehlerhaft erkannt werden oder Verifizierungen
fehlschlagen, drohen betroffenen Domains die Deaktivierung oder sogar die Löschung.
Domäneinhaber sind also dazu angehalten, ihre hinterlegten Daten zeitnah auf
Vollständigkeit und Korrektheit zu prüfen, um hier natürlich technische Ausfälle zu vermeiden.
Ich denke, das kennt jeder, das ist sehr ärgerlich, wenn die eigene Domain nicht
erreichbar ist und im Unternehmenskontext natürlich umso kritischer,
wenn darüber wirklich auch unternehmenskritische Prozesse wie Vertrieb zum Beispiel laufen.
Und apropos NIS 2, noch ein kleiner Servicehinweis an dieser Stelle.
Das Ende der Registrierungspflicht für NIS II steht nämlich bevor.
Bis zum 6. März 26 müssen sich Organisationen aus kritischen Sektoren beim BSI registrieren.
Also die Frist nähert sich langsam und wer sich noch nicht darum gekümmert hat,
der sollte das jetzt tun.
Und wer Fragen hat, ob er in den Anwendungsbereich fällt und was er tun muss,
darf sich natürlich auch gerne an uns wenden.
Wir unterstützen in diesem Bereich natürlich auch professionell.
Der versehentliche Versand eines Downloadlinks führt zur Festnahme.
Die niederländische Polizei hat in der Gemeinde Ridderkerk, Verzeihung,
falls das nicht richtig ausgesprochen ist,
versehentlich vertrauliche Dokumente freigegeben, nachdem ein Beamter einem
Zeugen fälschlicherweise ein Donut-Link statt einer Upload-Möglichkeit geschickt hatte.
Der Empfänger nutzte diesen Fehler aus und weigerte sich trotz behördlicher
Aufforderung, den Zugriff zu stoppen oder die bereits geladene Daten zu vernichten.
Stattdessen versuchte der Mann, die Situation auszunutzen und stellte Forderungen
als Gegenleistung für seine Kooperation.
Aufgrund dieses Verhaltens wurde er wegen des Verdachts auf Computerspionage
festgenommen und seine Datenträger wurden beschlagnahmt.
Die Behörden argumentierten, dass der Mann offensichtlich wusste,
dass die Informationen nicht für ihn bestimmt waren, was den Tatbestand des
Computerfriedensbruchs erfüllen könnte.
Inzwischen wurde der Vorfall als Datenschutzverstoß gemeldet,
während die strafrechtlichen Ermittlungen gegen den festgenommenen Niederländer noch andauern.
Der Fall unterstreicht, wie kritisch Berechtigungsmanagement und Zugriffskontrollen
in sensiblen IT-Systemen sind und dass ein einzelner Fehler bei der Rechtevergabe
schon ausreichen kann, um Schutzmechanismen auszuhebeln.
Ja, ich stelle mir das so vor, da kommt dann direkt das SEK,
klingelt einmal und kassiert mich ein, nur weil ich die Daten runtergeladen habe.
Aber ich kann es auch nicht ganz verstehen, ehrlich gesagt, warum man so einen
Download-Link nicht einfach deaktivieren kann und somit erstmal den Download auch stoppen kann.
Das klingt zumindest so, als hätte man das erst gar nicht machen können.
Ja, das klingt wie etwas, was man mit den ausreichenden Maßnahmen hätte vermeiden können.
Das kommt hinzu, absolut. Die LDI NRW hat ein drittes Datenschutz-Zertifizierungsverfahren
nach Artikel 42 DSGVO genehmigt.
Mit dem Programm Trusted Site Data Privacy können Anbieter, etwa von Online-Banking,
Buchhaltungs- oder KI-Systemen, nachweisen,
dass ihre Verarbeitung den Datenschutzanforderungen entspricht.
Bettina Geig betont in ihrer Pressemitteilung, dass das Zertifikat Rechtssicherheit
schaffen soll und der Europäische Datenschutzausschuss das Programm ebenfalls
bereits abgenommen hat.
Nach Angaben der LDI NRW handelt es sich bereits um das dritte Genehmigte-Zertifizierungsverfahren
in Nordrhein-Westfalen und damit baut die Aufsichtsbehörde nach eigenen Angaben
den Bereich der formellen Datenschutzzertifizierung weiter aus.
Ist zu begrüßen aus meiner Sicht ganz grundsätzlich, wenn man sich überlegt,
dass die ersten Jahre wir ja quasi gar nichts gesehen haben,
weil sich die Aufsichtsbehörden da irgendwie nicht so richtig bewegt haben im
Zusammenspiel mit der DAX, der Deutschen Akkreditierungsstelle.
Da ist es schön zu sehen, dass es da jetzt offenbar doch eine gewisse Routine sich entwickelt.
Wenn auch zugegebenermaßen man diese Zertifikate sehr selten in der freien Bildbahn
sieht, oder? Bist du schon mal auf Unternehmen gestoßen in unserer Beratung,
Julia, wo du sagst, ach, guck mal, die sind 42 DSGVO-zertifiziert?
Tatsächlich hier noch nicht, aber es ist mir schon untergekommen.
Okay, wunderbar.
Ein IT-Experte deckte durch Zufall eine kritische Sicherheitslücke bei Staubsauger-Robotern
des Herstellers DJI auf, während er versuchte, sein eigenes Gerät zu modifizieren.
Er wollte eigentlich seinen Staubsauger-Roboter so modifizieren,
dass er ihn mit einem PS5-Controller steuern kann. Eine ganz coole Idee eigentlich.
Durch den Zugriff auf unverschlüsselte Daten konnte er dann aber nicht nur auf
Raumpläne und Seriennummern tausender Nutzer weltweit zugreifen,
sondern konnte sogar sehen, welche Räume diese gerade reinigten,
welchen Hindernissen ausgewichen wurde und konnte die Live-Kamerabilder fremder Haushalte abrufen.
Obwohl DJ Eilish Wachstelle nach der Meldung zügig schloss, zeigt die Entdeckung,
wie leicht digitale Schlüssel für den unbefugten Fernzugriff missbraucht werden könnten.
Der Vorpfeffer deutlich die Risiken für die Privatsphäre, die von vernetzten
Haushaltsgeräten ausgehen können, falls die Verschlüsselung unzureichend ist.
Also eher interessant für den privaten Bereich diesmal, aber der Bericht warnt
eindringlich vor der potenziellen Gefahr, dass smarte Putshelfer ungewollt zu
Überwachungswerkzeugen in den intimsten Lebensbereichen mutieren könnten.
Ja, ich glaube, nicht nur Saugroboter, sondern jedes IoT-Gerät hat natürlich ein gewisses Risiko.
Also viele haben ja Webcams im Einsatz und viele andere Tools. Von daher…,
bis hin zu Sprachassistenten, sollte man auf jeden Fall sich immer bewusst sein
und vielleicht auch überlegen, ob es dann auch ein Saugroboter ohne Kamera tut.
Kommen wir zu unserer letzten Meldung. Microsoft hat wegen einer kritischen
Sicherheitslücke im Windows Admin Center dringend zur Installation eines Updates geraten.
Die Privilege Escalation Schwachstelle ermöglicht es Angreifern,
die Rechte von Admins auf den verwalteten Systemen zu übernehmen.
Und Microsoft hat die Lücke sogar als sehr kritisch eingestuft.
Ein Sicherheitsupdate ist inzwischen auch bereits veröffentlicht worden.
Das Windows Admin Center wird in vielen Unternehmen zur zentralen Verwaltung
von Windows Servern eingesetzt und durch eine erfolgreiche Rechteausweitung
kann in diesem Umfeld also auch sehr weitreichende Folgen haben.
Dementsprechend ist natürlich hier auf jeden Fall zu dem Update zu raten,
zu dem auch das Microsoft Security Response Center dringend rät.
Hier die aktuelle Version zu installieren.
Wer das bereits getan hat, herzlichen Glückwunsch.
Dann ist die Lücke geschlossen. Wer es noch nicht getan hat,
weist hier vielleicht seine Admins nochmal auf diese Lücke hin.
Und damit sind wir für heute durch. Es sei denn, du hast noch irgendwas entdeckt
in deinem Körbchen, Julia?
Leider nicht. Ich habe schon alles Spannende erzählt.
Wunderbar. Dann danke dir.
Danke dir.
Und danke euch natürlich fürs Dranbleiben. Wir freuen uns, wenn ihr die Gelegenheit
nutzt und uns Feedback gebt oder vielleicht auch auf der Plattform eurer Wahl eine 5 oder,
wenn es euch nicht so gut gefällt, eine weniger umfangreiche Sternebewertung
hinterlasst. 5 sind aber immer gerne.
Da macht ihr nichts mit falsch. Also 5 geht immer.
Von daher, also wir freuen uns und in diesem Sinne, habt ein schönes Wochenende,
bleibt uns gewogen und auf bald.
Auch von mir ein schönes Wochenende.