Rechtswidrige Daten als Beweis zulässig – DS News KW 25-2026

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Wir starten heute wieder mit euch gemeinsam ins Wochenende. Mein Name ist Heiko Gossen.
Und mein Name ist Laura Droschinski.
Heute ist Freitag, der 19. Juni 2026, unser Redaktionsschluss,
wie üblich um 10 Uhr und wir schauen natürlich wieder auf das,
was die Woche im Datenschutz besonders
relevant war und da haben wir ein bisschen was mitgebracht heute.
Ich habe ein bisschen das Gefühl, Laura, die Hitze führt auch dazu,
dass um der Sommer das irgendwie ein bisschen weniger in der Welt des Datenschutzes passiert, oder?
Ja, irgendwie schon. Das Gefühl habe ich auch. Also wir hatten ja schon andere
Wochen, wo uns echt die Auswahl nicht leicht gefallen ist, was wir überhaupt mitnehmen.
Und jetzt, ich sage mal so, müssen wir schon ein bisschen tiefer suchen.
Aber, wie sage ich so schön, was wir machen, müsst ihr nicht tun da draußen.
Aber ich finde, ein paar schöne Themen haben wir auch heute zusammenbekommen.
So ist es. Was hast du denn dabei?
Ich habe zuallererst dabei die Ergebnisse der LDI NRW, die sich nämlich Spielhallen angeschaut hat.
Dann geht es weiter mit unserem Top-Thema, nämlich der EuGH-Entscheidung zur Beweisverwertung.
Aber auch dort drin ein ganz interessanter, versteckter Hinweis zum Thema Rechtsgrundlagen.
Ebenso auf meinen Zettel hat es geschafft ein kurzes Update zum Thema NIST 2 vom BSI.
Und zu guter Letzt, wer sich bei dem super mega Sommerwetter in den Schatten
verziehen möchte und dabei noch was zu lesen braucht, ein Lesehinweis zum Thema 6G.
Wunderbar. Ja, ich würde einmal auf eine Entscheidung des Bundesgerichtshofs
schauen zum Thema Akteneinsichtsrecht im Zwangsversteigerungsverfahren und die
Frage, ob wir da Daten schwärzen müssen.
Dann habe ich eine zweite Entscheidung aus der Schweiz mit dabei,
vom Bundesverwaltungsgericht dort und um die Bewertung der Frage,
wann Betroffene informiert werden müssen und ob sie auch nachträglich informiert werden müssen.
Und last but not least hätte ich dann auch noch etwas zu einem vermutlichen,
Datenschutzvorfall, einem Cyberangriff auf den Roboterhersteller Ecovacs.
Alles klar, dann geht's los.
Denn Matau.
Die LDI NRW greift bei Videoüberwachung von Spielhallen ein.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen,
Bettina Geig, hat in einer aktuellen Pressemitteilung über die Ergebnisse einer
Prüfung von 38 Spielhallen in ihrem Zuständigkeitsbereich berichtet.
Dabei stellte die Behörde fest, dass insbesondere die Videoüberwachung im Außenbereich
häufig nicht datenschutzkonform umgesetzt wurde.
Bei acht von neun Spielhallen mit Außenüberwachung wurden Mängel festgestellt.
In drei Fällen musste die LDI NRW sogar die Abschaltung einzelner Kameras anordnen,
weil öffentliche Bereiche im unzulässigen Umfang erfasst wurden.
Die LDI NRW betont, dass Spielhallen aufgrund hoher Bargeldbestände grundsätzlich
ein berechtigtes Interesse an Videoüberwachung zum Schutz vor Überfällen haben.
Während die Erfassung des unmittelbaren Eingangsbereichs in der Regel zulässig
ist, darf die Überwachung nicht weit in öffentliche Straßen oder Gehwege hineinreichen.
Nach Auffassung der Behörde genügt regelmäßig die Aufnahme des Eingangs sowie
eines kleinen Bereichs davor und den definiert sie von maximal etwa einem Meter.
Ein weiterer Schwerpunkt der Prüfung war die Informationspflicht nach Artikel 13 DSGVO.
Viele Betreiber beschränken sich auf ein Kamerasymbol oder einfache Hinweisschilder.
Dies reicht jedoch nicht aus. Betroffene müssen ja bereits vor Betreten des
überwachten Bereichs unter anderem über den Verantwortlichen,
die Rechtsgrundlagen, die Zwecke der Verarbeitung und auch die Speicherdauer informiert werden.
Die Behörde verweist dabei auch auf die aktuelle Rechtsprechung des Europäischen
Gerichtshofs, der die Bedeutung dieser Informationspflichten ja zuletzt im Zusammenhang
mit Bodycams erneut hervorgehoben hat.
Betreiber von Spielhallen, aber auch natürlich andere öffentlich zugängliche Einrichtungen
sollten, vielleicht das jetzt auch zum Anlass nehmen, ihre Videoüberwachung
nochmal zu überprüfen, aber dies grundsätzlich natürlich auch regelmäßig tun,
denn Kameras sollten ausschließlich Bereiche erfassen, die auch für den jeweiligen
Zweck tatsächlich erforderlich sind.
Dann müssen natürlich die Informationsschilder ausreichend detailliert sein,
also die Anforderungen, gerechtlichen Anforderungen hier auch erfüllen und auch gut sichtbar sein.
Ich glaube, das ist ja in der Praxis auch immer die Herausforderung festzulegen,
okay, wo sind die denn so angebracht, dass wirklich vorbetreten des überwachten
Bereichs entsprechende Information erfolgt.
Und natürlich, aber das haben wir an anderen Stellen auch schon,
insbesondere bei Außenkameras, aber sonst natürlich auch, die sorgfältige Dokumentation
der Interessenabwägung, dass man das auch ausreichend dokumentiert,
wieso, weshalb, warum man sich für diesen Weg entschieden hat.
Also Pressemitteilung der LDI macht mal wieder deutlich, dass es natürlich oft
nachvollziehbare Sicherheitsinteressen gibt, aber natürlich die Grundsätze von
Datenminimierung und Transparent trotzdem konsequent dabei einzuhalten sind.
Ja, Dauerbrenner Videoüberwachung, oder? Also ich meine, ich glaube,
die kann man als Aufsichtsbehörde...
Braucht man nur mit offenen Augen durch die Städte und Dörfer zu gehen,
da findet man, glaube ich, genug Handlungsbedarf.
Der Bundesgerichtshof hat entschieden, dass das gesetzliche Akteneinsichtsrecht
im Zwangsversteigerungsverfahren auch die Einsicht in personenbezogene Daten
ohne vorherige Schwärzung umfasst.
Im Mittelpunkt stand die Frage, ob personenbezogene Daten in Versteigerungsakten
vor einer Einsichtnahme geschwärzt werden müssen.
Eine Bietinteressentin hatte Akteneinsicht beantragt und das Amtsgericht Bamberg
gewährte seinerzeit die Einsicht nur teilweise und verlangte die Schwärzung
von Namen, Anschriften, Geburtsdaten sowie bereits gelöschten Grundbucheintragungen.
Das Landgericht Bamberg bestätigte diese Auffassung unter Verweis auf Datenschutz-
und Persönlichkeitsrechte und das Ganze ist jetzt nun beim BGH gelandet und
der hat diese Entscheidung aufgehoben.
Denn nach seiner Auffassung umfasst das gesetzliche Akteneinsichtsrecht nach
§ 42 ZVG die Einsicht in die vollständigen Unterlagen einschließlich auch der
darin enthaltenen personenbezogenen Daten.
Besonders interessant aus Datenschutzsicht der BGH stellt nochmal ausdrücklich
fest, dass die DSGVO einer solchen Offenlegung nicht entgegensteht.
Die Datenverarbeitung sei durch Artikel 6 Absatz 1 Lit E gedeckt,
weil sie für die Wahrnehmung einer öffentlichen Aufgabe erforderlich sei.
Das Urteil macht also nochmal deutlich, dass Datenschutz natürlich nicht automatisch
eine Schwärzungspflicht mitbringt.
Aber auf der anderen Seite haben wir jetzt hier natürlich das öffentliche Interesse.
Das kann man sicherlich auch nicht für jeden Fall gleichermaßen heranziehen.
Also besteht eine klare gesetzliche Grundlage und ist die Offenlegung für den
Verfahrenszweck erforderlich, können auch personenbezogene Daten rechtmäßig
zugänglich gemacht werden.
Gleichzeitig aber betont der BGH auch den Zweckbindungsgrundsatz.
Das heißt, Vorsicht, die Einsichtnahme berechtigt nicht zu einer beliebigen
Weitergabe der erhaltenen Informationen.
Also Personen, die Akteneinsicht in ein Zwangsversteigerungsverfahren erhalten,
dürfen die überlastenden Akteninhalte weder ganz noch teilweise öffentlich verbreiten,
noch Dritten zu verfahrensfremden Zwecken übermitteln oder zugänglich machen.
Also Offenlegung der Daten kann zulässig sein, ihre weitere Nutzung bleibt jedoch
auf den Zweck des Verfahrens beschränkt. Also deswegen Vorsicht dann mit Weitergabe
von solchen Informationen.
Natürlich ist es nachvollziehbar.
Ja, absolut. Und ist ja konsequent. Ist ja das, wie wir ja auch im Unternehmen
Zweckänderungen, die da jedenfalls immer prüfen müssen.
Der Europäische Gerichtshof stärkt Gerichte bei der Datenverarbeitung im Rahmen
der Beweiserhebung und schafft Klarheit bei Rechtsgrundlagen.
Der EuGH hat mit seinem Urteil vom 18. Juni 2026 gleich zwei wichtige Fragen
des Datenschutzrechts beantwortet.
Zum einen stellte das Gericht klar, dass nationale Gerichte auch personenbezogene
Daten verwerten dürfen, die möglicherweise rechtswidrig erlangt wurden.
Zum anderen erhält das Urteil eine für die Praxis besonders relevante Aussage
zu den Rechtsgrundlagen nach Artikel 6 DSGVO.
Nämlich für dieselbe Datenverarbeitung können unter bestimmten Voraussetzungen
mehrere Rechtsgrundlagen gleichzeitig in Betracht kommen.
Zum ersten Teil, also der grundsätzlichen Aussage, kein automatisches Beweisverwertungsverbot,
bei Datenschutzverstößen.
Ausgangspunkt des Verfahrens war ein arbeitsrechtlicher Streit über den mutmaßlich
unzulässigen Verkauf von Firmen-Eigentum.
Dabei stellte sich die Frage, ob ein Gericht personenbezogene Daten verwerten
darf, die möglicherweise unter Verstoß gegen Datenschutzvorschriften erhoben wurden.
Der EuGH bejahte dies grundsätzlich.
Datenschutzverstöße führen nicht automatisch dazu, dass Beweise vor Gericht unverwertbar werden.
Das Interesse an einer funktionierenden Rechtspflege und an einer wirksamen
gerichtlichen Sachverhaltsaufklärung kann eine solche Verarbeitung rechtfertigen.
Gleichzeitig betont der EuGH, dass Gerichte bei der Offenlegung der Daten weiterhin
den Grundsatz der Datenminimierung beachten müssen.
Womöglich sind das etwa Schwärzungen, Anonymisierung oder Pseudonymisierung.
Das wäre dann eben vorzunehmen, insbesondere zum Schutz unbeteiligter Dritter.
Besonders interessant für die Datenschutzpraxis aus meiner Sicht ist aber noch
eine weitere Aussage des Urteils.
Der EuGH stellt darin nämlich ausdrücklich klar, dass für ein und dieselbe Verarbeitung
mehrere Rechtsgrundlagen des Artikel 6 Absatz 1 DSGVO gleichzeitig einschlägig sein können.
Bislang wurde ja eben häufig diskutiert, ob sich Verantwortliche für eine Verarbeitung
auf genau eine Rechtsgrundlage festlegen müssen oder ob mehrere Rechtsgrundlagen
parallel herangezogen werden dürfen.
In Vergangenheit hatte sich hierzu der EuGH ja bereits geäußert,
dass die Rechtsgrundlagen nebeneinander bestehen, es also keine erste oder beste
Rechtsgrundlage im Artikel 6 gibt.
Die Verarbeitung personenbezogener Daten muss eben nur auf einer solchen Rechtsgrundlage erfolgen.
Der EuGH formulierte hierzu nun in diesem Urteil vom 18.06.,
dass unter bestimmten Umständen, nee, anders, ich zitiere,
unter bestimmten Umständen können für dieselbe Verarbeitung mehrere alternative
Zulässigkeitsvoraussetzungen gelten.
Also damit bestätigt das Gericht, dass beispielsweise eine Datenverarbeitung
sowohl zur Vertragserfüllung nach Artikel 6 Absatz 1 Lit B DSGVO
als auch aufgrund berechtigter Interessen nach Artikel 6 Absatz 1 Lit F DSGVO
zulässig sein kann, ebensofern die jeweiligen Voraussetzungen tatsächlich erfüllt sind.
Also was können wir jetzt wieder für die Praxis mitnehmen? Unternehmen,
Verantwortliche sollten natürlich auch hier prüfen und dokumentieren,
auf welche Rechtsgrundlage die Verarbeitung zu stützen ist.
Ganz besonders Verzeichnis der Verarbeitungstätigkeiten muss man es ja eh tun
und auch in der Datenschutzdokumentation hier auch ganz besonders darauf achten,
dass dies ausreichend dokumentiert ist, in welchen Fällen welche Rechtsgrundlage auch Anwendung findet.
Also klar, bedeutet das Urteil jetzt auch nicht, dass Rechtsgrundlagen ganz
beliebig kombiniert werden können.
Jedoch, sobald halt eben die herangezogene Rechtslage für sich eigenständig
die gesetzlichen Voraussetzungen erfüllt, warum denn nicht?
Ja, und daran denken, auch mehrere Rechtsgrundlagen müssen natürlich auch in
den Datenschutzhinweisen dann alle genannt werden.
Also, ob man sich mit mehreren Rechtsgrundlagen immer das Leben einfacher macht,
glaube ich, muss man daraus auch nicht ableiten. Aber jetzt ist natürlich für
den einen oder anderen Fall vielleicht schon ganz hilfreich.
Das Schweizer Bundesverwaltungsgericht hat die Informationspflicht nach Datenschutzverletzungen
unter dem neuen Datenschutzgesetz konkretisiert.
Mit seinem Urteil vom 8. April diesen Jahres hat das Gericht nämlich klargestellt,
dass eine Datenschutzverletzung bereits dann vorliegt, wenn personenbezogene
Daten für Unbefugte zugänglich werden konnten.
Für die Pflicht zur Information der Betroffenen kommt es dann nicht darauf an,
ob bereits ein konkreter Schaden entstanden ist. Entscheidend ist vielmehr,
ob Betroffene durch die Information noch Schutzmaßnahmen ergreifen können.
Denn Daten können auch kopiert werden und dann später natürlich für den Missbrauch genutzt werden.
Also weiterhin, selbst wenn eine individuelle Benachrichtigung nicht mehr möglich
ist oder nur mit unverhältnismäßigem Aufwand umsetzbar, bleibt der Schutzgedanke
natürlich bestehen. Vielleicht kurz zum Sachverhalt.
Ein Online-Shop nutzte die sogenannte RMA-URLs für Support-Fälle
und durch Konfigurationsprobleme wurden rund 19.000 dieser URLs seit Juni 2023
durch den Bing-Crawler indexiert und damit dann auch öffentlich zugänglich gemacht werden.
Die URLs enthielten wiederum Kundendaten wie Namen, E-Mail-Adressen,
IBANs und Kommunikationsinhalte und Gutschein-Codes.
Das Unternehmen meldete dann den Vorfall zwar an den eidgenössischen Datenschutz-
und Öffentlichkeitsbeauftragten.
Das Unternehmen verweigerte dann aber die Benachrichtigung der Betroffenen,
obwohl das entsprechend dann von dem EDEP genutzt gefordert wurde.
Jetzt können wir natürlich auch nochmal unter DSGVO-Aspekten drauf gucken.
Ich glaube, das ist relativ ähnlich. Die Argumentation zur Vertraulichkeitsverletzung
durch bloße Zugriffsmöglichkeiten entspricht so auch der europäischen Linie.
Und wie gesagt, auch hier in Europa oder im europäischen Anwendungsbereich der DSGVO,
auch da bleibt ja die Informationspflicht bei hohen Risiken betroffen,
selbst wenn man entsprechende Sofortmaßnahmen umgesetzt hat und die Daten dann
nicht mehr zugänglich sind.
Also relativ ähnlich da wie in der Schweiz, denn wie gesagt,
dass die Daten vorher schon kopiert wurden und später genutzt werden,
das kann man halt nicht ausschließen.
Vielleicht noch für alle, die sich im Schweizer Datenschutzrecht nicht im Detail
auskennen, dort ist die Informationspflicht etwas anders geregelt in der DSGVO,
nämlich dort heißt es, der Verantwortliche informiert die betroffene Person,
wenn es zu ihrem Schutz erforderlich ist oder der EDEP es verlangt.
Ich weiß nicht, sagt man EDEP oder sagt man EDÖB? Ich würde EDÖB sagen. EDÖB, okay.
Will keinem zu nahe treten, deswegen der EDÖB ist verlangt.
Interessante Regelung, oder?
Ja, absolut.
Das BSI, das Bundesamt für Sicherheit in der Informationstechnik,
nicht PSI, das wäre auch witzig, hat die Frist zur Registrierung der Unternehmen
gemäß der NIST-2-Richtlinie bis zum 31. Juli diesen Jahres verlängert.
Da die bisherigen Registrierungszahlen von etwa 18.500 Einrichtungen hinter
den Erwartungen zurückbleiben, richtet das BSI ein Appell an die Branchenverbände,
ihre Mitglieder verstärkt auf die Einhaltung der Registrierungspflichten hinzuweisen.
Besonders der Mittelstand und nicht regulierte Firmen empfinden den Registrierungsaufwand
als zu hoch und um dies zu erleichtern, stellte das BSI Informationsmaterialien
und einen Frage-Antwort-Katalog bereit.
Bei anhaltenden Verstößen drohen Bußgelder von bis zu 500.000 Euro.
Punkt. Also wer da vielleicht reinfällt, vielleicht ist ja unsicher ist,
vielleicht auch nochmal der Hinweis auf unsere Themenfolge mit Stefan,
die wir ja auch hatten im letzten Jahr.
Richtig.
Genau. Hört da sonst gerne auch nochmal rein zu den Hintergründen.
Aber sonst ist natürlich eben geraten, das nochmal zu hinterfragen.
Ob man da vielleicht zugehört.
Ja. Ja, ja. Ich glaube nicht, dass das unendlich oft gemacht wird,
diese Frist verlängert.
Ist ja schon richtig nett, dass sie es überhaupt gemacht haben.
Ja, absolut. Hacker behaupten beim Roboterhersteller Ecovacs,
rund zwei Terabyte Daten erbeutet zu haben und drohen mit Veröffentlichung.
Eine Bestätigung dieses mutmaßlichen Datendiebstahls durch das Unternehmen selbst,
also Ecovacs, steht allerdings noch aus.
Nach Angaben der Angreifer der Space Beers sollten die gestohlenen Daten aus
Unternehmenssystemen von EcoWorks stammen.
Welche Informationen konkret betroffen sein könnten, ist allerdings bisher noch
nicht bekannt geworden.
Ecovacs zählt ja zu den auch weltweit bekannten Herstellern von Saug- und Mährobotern
und wie bei den meisten Anbietern von smarten Haushaltshelfern sind die Geräte
natürlich standardmäßig mit der Cloud des Anbieters verbunden und werden dann
auch darüber gesteuert,
dass jeder, der so ein Gerät hat, wird mutmaßlich auch einen Account bei Ecovacs haben.
Der Fall erinnert so ein bisschen an den Vorfall beim IT-Dienstleister Atos.
Dort hatten die gleichen Angreifer, also die gleiche Gruppe ebenfalls behauptet,
Daten erbeutet zu haben.
Später hatten sich die Vorwürfe jedoch als Bluff herausgestellt.
Ob die Angaben der Hacker jetzt im Fall EcoWorks zutreffen, ist deshalb derzeit
laut heise online noch offen.
Denn eine unabhängige Bestätigung oder Stellungnahme des Unternehmens gab es
noch nicht. Die dürfte dann natürlich für mehr Klarheit schaffen.
Nichtsdestotrotz, glaube ich, wer ein Ecovacs-Konto nutzt.
Ich glaube, ich sollte das nicht nur beobachten, sondern vorsorglich auch das
Passwort zum Account ändern und, das gehört natürlich auch mal dazu,
ob man das Passwort eventuell auch noch bei anderen Diensten verwendet hat,
dann sollte man es natürlich auch bei anderen Diensten verändern.
Besser wäre es.
Besser wäre es.
Ich sagte ja schon bereits, wer eine Leseempfehlung benötigt,
wird jetzt fündig, denn die Descare hat ein neues Positionspapier veröffentlicht
und zwar zum Thema 6G-Technik, also die Integrated Sensing and Communication.
Hierbei arbeiten Funknetze ja gleichzeitig durch Radarsensoren.
Also nahezu jedes 6G-Endgerät könne dann Bewegung und Position erfassen und
das sogar durch Wände hindurch.
Und das bedeutet natürlich dann auch wieder im Umkehrschluss,
dass insbesondere die Unverlässlichkeit von Wohnraum gefährdet ist, so die DSK.
Also die Verarbeitung der erfassten Sensingdaten ist dadurch im hohen Maße datenschutzrechtlich
relevant und laut Aussage der DSK wird es halt besonders kompliziert,
weil auch im Rahmen der neuen Technik
so viele zahlreiche Akteure zusammenkommen, also Netzbetreiber,
Geräthersteller, App- und Betriebssystemanbieter verantwortlich sein werden.
Kleiner Spoiler vielleicht, die DSK hält die Einwilligung wegen der Vielzahl
an unbeteiligten Personen für untauglich und fordert daher klare gesetzliche
Regelungen sowie den Einbau von Datenschutz by Design in den 6G-Standard.
Findet ihr in den Shownotes, wie immer.
Auch in den Shownotes findet ihr den Link zu einem neuen Podcast der MiguSense.
Den haben wir nämlich vor kurzem released.
Nennt sich Wandel zum Mitnehmen, ist der Podcast für alle, die Veränderungen
in kleinen und mittleren Unternehmen erfolgreich gestalten möchten.
Gemeinsam mit Inka-Coaches, Unternehmern und Experten sprechen Elisa und das
TeamworkSmart unter anderem über Arbeitgeberattraktivität, Führung,
aber ausgeht auf Zusammenarbeit, Innovation, Unternehmenskultur.
Das Ganze natürlich so ein bisschen mit echten Erfahrungen, konkreten Praxisbeispielen,
aber ich glaube, das ist das Wichtige, auch immer wieder Impulsen für die Arbeitswelt.
Und das Ganze findet ihr natürlich einerseits auf Spotify, aber natürlich auch,
auf wandelfürkmu.migosense.de. Das ist die Seite, über die wir den Podcast veröffentlichen.
Wie gesagt, hat jetzt nicht so viel direkt mit Datenschutz zu tun,
aber für alle, die, und ich glaube jeder, der im Unternehmen arbeitet und dort
auch für das Unternehmen ein bisschen nach vorne denken möchte,
ist da, glaube ich, auch gut aufgehoben, da mal reinzuhören.
Inka vor allen Dingen, weil wir auch Inka-Coaches haben. Ein spannendes Programm,
weil man hier Beratung auch gefördert bekommt.
Relativ einfach von den Voraussetzungen her.
Von daher glaube ich, ist es sozusagen eine gute Kombination,
sich einerseits inspirieren zu lassen, aber vielleicht auch mal ein bisschen
mit Inka und den Fördermöglichkeiten dann auch zu beschäftigen,
weil man hier sehr gut, günstig auch entsprechende Beratung dann bekommen kann.
In diesem Sinne würde ich sagen, Laura, haben wir es für heute.
So ist es.
Also nicht vergessen, wandelfürkmu.migosens.de oder natürlich auf Apple Podcast
Link packen wir euch in die Shownotes ebenso rein.
Dann für die meisten steht wahrscheinlich ein heißes Wochenende vor der Tür,
dem in diesem Sinne behaltet einen kühlen Kopf, bleibt dem Datenschutz und dem
Datenschutz-Talk treu, bleibt uns gewogen und bis bald.
Bis bald.