Defekte Datenschutz-E-Mail-Adresse
Das österreichische Bundesverwaltungsgericht bestätigte eine DSGVO-Geldbuße von 15.000 Euro gegen ein Unternehmen, dessen ausgewiesene Datenschutz-E-Mail-Adresse über längere Zeit nicht funktionierte. Ein Kunde konnte dadurch seine Betroffenenrechte nicht ausüben. Das Gericht sah mehrere schwerwiegende Verstöße gegen die DSGVO. Die Entscheidung macht deutlich, dass selbst vermeintlich technische Kleinigkeiten wie eine defekte E-Mail-Adresse zu empfindlichen Strafen führen können und Unternehmen ihre datenschutzrechtlichen Kommunikationswege regelmäßig überprüfen sollten.
Pflichtfelder bei Online-Formularen
Das OLG Frankfurt hat der Deutschen Bahn untersagt, den Kauf von Sparpreis-Tickets zwingend von der Angabe einer E-Mail-Adresse oder Handynummer abhängig zu machen, da dies gegen die DSGVO verstößt. Das Gericht stellte fest, dass Verbraucher keine „echte oder freie Wahl“ hatten und die Bahn die Vertragserfüllung unzulässig von der Einwilligung abhängig machte. Die digitale Ticketform diene hauptsächlich unternehmensinternen Zwecken wie Werbung oder Kundenbindung, sei aber für die eigentliche Beförderungsleistung nicht erforderlich. Für Unternehmen mit Online-Formularen bedeutet dies eine klare Warnung: Pflichtfelder für Kontaktdaten sind nur zulässig, wenn sie für die konkrete Vertragserfüllung objektiv erforderlich sind – reine Nützlichkeit oder Effizienzsteigerung reichen nicht aus. Das Urteil verschärft das Koppelungsverbot nach Art. 7 Abs. 4 DSGVO erheblich und zeigt, dass Unternehmen echte Wahlmöglichkeiten bieten müssen, wenn sie personenbezogene Daten erheben wollen.
Neuigkeiten zu Microsoft 365
Die EU-Kommission hat mit Unterstützung von Microsoft und nach Bewertung durch den Europäischen Datenschutzbeauftragten erstmals öffentlich bestätigt, dass Microsoft 365 DSGVO-konform eingesetzt werden kann. Dies wurde durch spezielle Zusatzverträge und technische Maßnahmen erreicht, die über die Standard-Verträge hinausgehen und die Risiken so reduzieren, dass ein DSGVO-konformer Einsatz möglich ist. Entscheidend ist dabei, dass Microsoft die EU-Datengrenze vollständig umgesetzt hat und Datenübermittlungen in unsichere Drittstaaten seit Dezember 2024 nur noch in begrenztem Umfang und Ausnahmefällen erfolgen. Für Unternehmen bedeutet dies jedoch keinen Blanko-Scheck: Die Microsoft 365-Umgebung wird dadurch nicht automatisch DSGVO-konform. Es bedarf weiterhin einer individuellen Risikoabschätzung (Datenschutzfolgenabschätzung (DSFA)) und entsprechender technisch-organisatorischer Maßnahmen vor dem Einsatz von Microsoft 365.
Gestaltung von Cookie-Bannern
Cookie-Banner sollten eine gut sichtbare „Alles ablehnen“-Schaltfläche auf der ersten Ebene anbieten, wenn sie eine „Alle akzeptieren“-Option enthalten. Einwilligungsbanner dürften nicht gezielt zur Abgabe der Einwilligung hinlenken und von der Ablehnung der Cookies abhalten, andernfalls seien die derart eingeholten Einwilligungen unwirksam, so das Verwaltungsgericht Hannover mit Urteil vom 19. März 2025. Für Website-Betreiber bedeutet dies konkret: Ablehnungs-Buttons müssen genauso prominent und leicht zugänglich sein wie Zustimmungs-Buttons, alle relevanten Informationen über Partner und Drittstaaten-Transfers müssen sofort sichtbar sein, und manipulative Formulierungen wie „optimales Nutzungserlebnis“ sind zu vermeiden. Das Urteil verschärft die Anforderungen an Cookie-Banner erheblich und droht bei Verstößen mit unwirksamen Einwilligungen mit möglichen Bußgeldern nach DSGVO und TTDSG.
EU Data Act trat in Kraft
Der EU Data Act trat am 12. September 2025 in Kraft und revolutioniert den Umgang mit Daten aus vernetzten Produkten und digitalen Diensten wie IoT-Geräten, Smart-Home-Produkten, Fahrzeugen oder Maschinen. Unternehmen müssen Nutzern u.a. kostenlos und in maschinenlesbarem Format Zugang zu den durch ihre Produkte erzeugten Daten gewähren, auf Wunsch diese Daten sogar Dritten bereitstellen und faire Vertragsbedingungen ohne missbräuchliche Klauseln sicherstellen. Bei Verstößen drohen Bußgelder, weshalb sich betroffene Unternehmen jetzt vorbereiten müssen. Der 12. September 2025 war keine weiche Einführung, sondern eine harte Zäsur – wer erst dann gestartet hat, wird die Umsetzung realistisch nicht rechtzeitig schaffen, da tiefgreifende Änderungen in Technik, Prozessen und Verträgen erforderlich sein können.
Philipp Kuper
Manager Data Protection Services, Creditreform Compliance Services GmbH