Michael Kornmann, Autor bei QS Kornmann

Offsite-Tracking unter Druck: OLG Jena setzt klare Grenzen

Die Nutzung von Tracking-Technologien gehört für viele Unternehmen längst zum digitalen Alltag. Umso wichtiger ist es, die rechtlichen Rahmenbedingungen im Blick zu behalten.

19 Juni 2026

Die Nutzung von Tracking-Technologien gehört für viele Unternehmen längst zum digitalen Alltag. Umso wichtiger ist es, die rechtlichen Rahmenbedingungen im Blick zu behalten. Eine aktuelle Entscheidung des OLG Jena aus März 2026 macht deutlich: Beim sogenannten Offsite-Tracking – also der Datenerhebung außerhalb der eigenen Plattform – gelten strenge Anforderungen. Verstöße können nicht nur rechtliche Konsequenzen haben, sondern auch finanziell spürbar werden.

Was genau entschieden wurde

Im konkreten Fall ging es um einen Betreiber eines sozialen Netzwerks, der das Surf- und Nutzungsverhalten von Personen auch außerhalb seiner Plattform erfasst hatte. Zum Einsatz kamen typische Tracking-Technologien wie Pixel, eingebettete Social-Media-Buttons und vergleichbare Tools. Die gesammelten Daten wurden anschließend mit bestehenden Nutzerprofilen verknüpft.

Das Gericht bewertete dieses Vorgehen als klaren Verstoß gegen zentrale Prinzipien der Datenschutz-Grundverordnung(DSGVO). Besonders hervorgehoben wurden dabei:

Transparenz: Nutzer wurden nicht ausreichend darüber informiert, welche Daten außerhalb der Plattform erhoben werden.
Zweckbindung: Die Verarbeitung erfolgte ohne klar definierten, legitimen Zweck.
Datenminimierung: Es wurden mehr Daten erhoben als notwendig.
Rechenschaftspflicht: Der Betreiber konnte die Rechtmäßigkeit der Verarbeitung nicht ausreichend nachweisen.

Besonders kritisch sah das Gericht die Möglichkeit, durch die Datenverknüpfung Rückschlüsse auf sensible Informationen zu ziehen – etwa politische Meinungen oder Gesundheitsdaten. Solche „besonderen Kategorien personenbezogener Daten“ sind nach Art. 9 DSGVO besonders geschützt.

Bemerkenswert: Das Gericht sprach dem Betroffenen einen Schadensersatz von 3.000 Euro zu – ohne dass dieser konkrete Einzelnachweise über einzelne Webseitenbesuche erbringen musste. Bereits der Kontrollverlust über die eigenen Daten wurde als ausreichend angesehen.

Was das für Unternehmen bedeutet

Für Unternehmen bedeutet diese Entscheidung vor allem eines: Tracking ist kein Selbstläufer. Wer Daten erhebt – insbesondere außerhalb der eigenen Website oder App – muss dies rechtlich sauber begründen und transparent gestalten.

Eine pauschale Argumentation wie „für personalisierte Werbung sinnvoll“ reicht nicht aus. Stattdessen braucht es eine klare Zweckdefinition, eine nachvollziehbare Rechtsgrundlage (z. B. Einwilligung) und eine verständliche Kommunikation gegenüber den Betroffenen.

Gerade im Marketing, wo häufig verschiedene Tools und Plattformen miteinander kombiniert werden, steigt das Risiko unzulässiger Datenverarbeitung. Die Verknüpfung unterschiedlicher Datenquellen ist besonders sensibel und erfordert in der Regel eine eigenständige rechtliche Bewertung.

Typische Risikobereiche im Alltag

Viele Unternehmen nutzen Tracking-Technologien, ohne deren volle Tragweite zu berücksichtigen. Kritisch sind insbesondere:

Social-Media-Plugins, die Daten bereits beim Laden der Website übertragen
Tracking-Pixel in E-Mails oder auf externen Seiten
Retargeting-Tools, die Nutzer über mehrere Plattformen hinweg verfolgen
Datenabgleiche zwischen CRM-Systemen und Werbenetzwerken

Hier gilt: Je weiter die Datenerhebung über die eigene Plattform hinausgeht, desto höher sind die Anforderungen an Transparenz und Rechtsgrundlage.

Fazit

Die Entscheidung des OLG Jena unterstreicht, dass Datenschutz kein theoretisches Thema ist, sondern konkrete Auswirkungen auf Marketing- und Geschäftsmodelle hat. Unternehmen sollten ihre Tracking-Strategien regelmäßig überprüfen und sauber dokumentieren. Denn fehlende Transparenz und unklare Zwecke können schnell teuer werden.

Unsere Top 5

Tracking-Tools regelmäßig rechtlich prüfen – insbesondere Offsite-Tracking
Nutzer transparent und verständlich über Datennutzung informieren
Datenerhebung strikt auf das notwendige Maß begrenzen
Datenquellen und Zwecke klar trennen und dokumentieren
Risiken von Schadensersatzansprüchen aktiv einplanen

Remote-Audits & ISO 19011:2026

Die Auditpraxis hat sich in den letzten Jahren spürbar verändert: Mit der neuen ISO 19011:2026 erhalten Remote-Audits einen klaren normativen Rahmen

12 Juni 2026

Was sich jetzt für Auditoren und Unternehmen ändert

Die Auditpraxis hat sich in den letzten Jahren spürbar verändert: Was während der Pandemie als pragmatische Lösung begann, wird nun offiziell zum Standard. Mit der neuen ISO 19011:2026 erhalten Remote-Audits einen klaren normativen Rahmen. Ergänzt wird dieser durch die ISO/IEC TS 17012:2025, die konkrete Anwendungshinweise liefert.

Für Unternehmen und Auditoren bedeutet das vor allem eines: mehr Flexibilität – aber auch neue Anforderungen.

Remote-Audits werden zum festen Bestandteil

Die überarbeitete ISO 19011 verankert Remote-Audits als gleichwertige Ergänzung zu klassischen Vor-Ort-Audits. Wichtig ist dabei: Remote-Audits ersetzen die Vor-Ort-Prüfung nicht pauschal, sondern erweitern das Instrumentarium.

Ob ein Audit remote, vor Ort oder hybrid durchgeführt wird, hängt künftig stärker von klar definierten Faktoren ab. Dazu zählen unter anderem die Ziele des Audits, die Art der Prozesse sowie die verfügbaren technischen Möglichkeiten. Unternehmen gewinnen dadurch mehr Spielraum in der Auditplanung – müssen aber gleichzeitig strukturierter entscheiden.

Klare Leitlinien durch ergänzende Norm

Mit der ISO/IEC TS 17012 liegt erstmals eine spezifische Orientierung für Remote-Audits vor. Sie beschreibt, wie digitale Audits sinnvoll geplant, durchgeführt und dokumentiert werden.

Besonders relevant ist dabei die klare Abgrenzung: Remote-Audits sind kein „vereinfachtes Audit“, sondern ein eigenständiges Format mit eigenen Anforderungen. Aspekte wie Datensicherheit, technische Stabilität und geeignete Kommunikationswege rücken stärker in den Fokus.

Neue Anforderungen an Auditoren und Unternehmen

Für Auditoren bedeutet die Entwicklung vor allem eines: Kompetenzaufbau. Neben fachlichem Know-how werden digitale Fähigkeiten immer wichtiger. Dazu gehören etwa der sichere Umgang mit Tools, die strukturierte Durchführung von Interviews per Video sowie die Fähigkeit, Prozesse auch ohne physische Präsenz zuverlässig zu bewerten.

Auch Unternehmen stehen in der Verantwortung. Sie sollten ihr Auditprogramm überprüfen und gezielt festlegen, welche Bereiche sich für Remote-Audits eignen. Nicht alle Prozesse lassen sich gleichermaßen digital prüfen – insbesondere bei komplexen Abläufen oder sicherheitskritischen Themen bleibt die Vor-Ort-Prüfung unverzichtbar.

Technische und organisatorische Voraussetzungen

Ein erfolgreiches Remote-Audit beginnt lange vor dem eigentlichen Termin. Eine stabile IT-Infrastruktur, geeignete Softwarelösungen und klar geregelte Zugriffsrechte sind essenziell.

Ebenso wichtig ist der Datenschutz: Die Übertragung sensibler Unternehmensdaten muss abgesichert sein. Unternehmen sollten daher frühzeitig prüfen, ob ihre Systeme den Anforderungen entsprechen und ob interne Richtlinien angepasst werden müssen.

Fazit: Mehr Flexibilität – aber kein Selbstläufer

Die neuen Regelungen schaffen klare Rahmenbedingungen für Remote-Audits und machen sie zu einem festen Bestandteil moderner Auditprogramme. Gleichzeitig wird deutlich: Der Erfolg hängt maßgeblich von guter Vorbereitung, geeigneter Technik und geschultem Personal ab.

Unternehmen, die diese Faktoren frühzeitig berücksichtigen, können von effizienteren Abläufen und größerer Flexibilität profitieren.

Unsere Top 5

Remote-Audits als festen Bestandteil deines Auditprogramms einplanen
ISO/IEC TS 17012 als praktische Leitlinie aktiv nutzen
Klar definieren, welche Prozesse remote auditierbar sind
Technische Infrastruktur und Datenschutz frühzeitig sicherstellen
Auditoren gezielt für digitale Auditmethoden qualifizieren

Wann Fotos zu personenbezogenen Daten werden – und was Unternehmen beachten müssen

Aktuelle Entscheidungen zeigen: Bilder können schneller personenbezogene Daten enthalten, als viele Unternehmen vermuten.

05 Juni 2026

Ein Foto einer Wohnung oder ein Drohnenbild eines Grundstücks wirkt auf den ersten Blick harmlos. Doch im Kontext der Datenschutz-Grundverordnung (DSGVO) kann genau daraus ein datenschutzrechtlich relevantes Thema werden. Aktuelle Entscheidungen zeigen: Bilder können schneller personenbezogene Daten enthalten, als viele Unternehmen vermuten – mit konkreten Folgen für Marketing, Vertrieb und Verwaltung.

Zwei Entscheidungen mit klarer Signalwirkung

Ein Urteil des Oberlandesgericht Zweibrücken macht deutlich, dass Wohnungsfotos durchaus personenbezogene Daten enthalten können. Entscheidend ist, ob auf den Bildern persönliche Gegenstände erkennbar sind, die Rückschlüsse auf die Bewohner zulassen. In solchen Fällen reicht eine allgemeine Zustimmung zur Aufnahme der Fotos nicht aus. Sobald die Bilder veröffentlicht werden – etwa in einem Exposé oder auf Immobilienplattformen – muss die Einwilligung den konkreten Zweck eindeutig abdecken.

Zu einem ähnlichen Ergebnis kam die Österreichische Datenschutzbehörde bei Drohnenaufnahmen. Werden darauf Nachbargrundstücke sichtbar und lassen sich über Adressen Rückschlüsse auf Eigentümer ziehen, handelt es sich ebenfalls um personenbezogene Daten. Ohne entsprechende Schutzmaßnahmen, etwa Verpixelung, fehlt in solchen Fällen die notwendige Rechtsgrundlage für die Veröffentlichung.

Wann ein Foto personenbezogen wird

Nicht jedes Bild fällt automatisch unter die DSGVO. Entscheidend ist, ob eine Person identifizierbar ist – direkt oder indirekt. Das kann schneller der Fall sein, als man denkt. Schon Details wie Möbel, Dekoration, ein bestimmter Einrichtungsstil oder die Lage eines Grundstücks können Hinweise liefern, die eine Zuordnung ermöglichen.

Gerade im beruflichen Alltag betrifft das viele Bereiche: Immobilienunternehmen, Makler und Vermieter ebenso wie Marketingabteilungen, die mit authentischen Bildern arbeiten. Auch scheinbar neutrale Aufnahmen von Gebäuden oder Außenflächen können datenschutzrechtlich relevant werden, wenn sie in einen identifizierbaren Kontext eingebettet sind.

Was das für Unternehmen bedeutet

Für die Praxis heißt das: Bilder sollten nicht nur unter gestalterischen oder vertrieblichen Gesichtspunkten bewertet werden, sondern immer auch datenschutzrechtlich. Besonders wichtig ist die klare Trennung zwischen der Aufnahme eines Fotos und seiner Veröffentlichung. Beide Schritte gelten als eigenständige Verarbeitungen – und benötigen jeweils eine rechtliche Grundlage.

Zudem wird die sogenannte „Erforderlichkeit“ zentral: Unternehmen müssen prüfen, ob ein Bild wirklich in der vorliegenden Form veröffentlicht werden muss oder ob Anpassungen – etwa durch Unschärfen oder Ausschnitte – möglich und sinnvoll sind.

Unsere Top 5

Prüfen Sie vor jeder Veröffentlichung, ob Personen oder persönliche Lebensumstände erkennbar sind.
Holen Sie eine klare, zweckgebundene Einwilligung ein – Aufnahme und Veröffentlichung sind getrennt zu betrachten.
Beschreiben Sie in der Einwilligung konkret, wo und wie Bilder genutzt werden.
Nutzen Sie Verpixelung oder Zuschnitt, um identifizierende Details zu entfernen.
Dokumentieren Sie die Rechtsgrundlage sauber – insbesondere für mögliche Auskunftsanfragen nach Art. 15 DSGVO.

Chatkontrolle & Verschlüsselung: Warum sichere Kommunikation nicht verhandelbar ist

Was auf den ersten Blick nach einem Instrument zur Kriminalitätsbekämpfung klingt, hat weitreichende Folgen – auch für Unternehmen.

29 Mai 2026

Die Diskussion um die sogenannte Chatkontrolle nimmt in der EU erneut Fahrt auf. Gemeint ist das flächendeckende Scannen privater Nachrichten, um strafbare Inhalte zu erkennen. Was auf den ersten Blick nach einem Instrument zur Kriminalitätsbekämpfung klingt, hat weitreichende Folgen – auch für Unternehmen. Denn im Kern geht es um die Frage, wie sicher digitale Kommunikation künftig noch ist.

Was aktuell auf dem Spiel steht

Die deutschen Datenschutzbehörden, vertreten durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK), haben eine klare Position bezogen: Sie sprechen sich deutlich gegen die Einführung einer Chatkontrolle aus.

Der zentrale Kritikpunkt liegt in der möglichen Aufweichung der sogenannten Ende-zu-Ende-Verschlüsselung. Diese Technologie sorgt dafür, dass nur Sender und Empfänger eine Nachricht lesen können – nicht einmal der Anbieter selbst hat Zugriff. Wird diese Schutzmaßnahme durch sogenannte „Hintertüren“ geschwächt, entsteht ein grundlegendes Sicherheitsrisiko.

Denn eine einmal geschaffene Zugriffsmöglichkeit lässt sich nicht auf „gute Zwecke“ beschränken. Sie kann auch von Dritten ausgenutzt werden – etwa durch Cyberkriminelle oder fremde Staaten. Damit wäre nicht nur die Privatsphäre Einzelner betroffen, sondern auch die Vertraulichkeit sensibler Unternehmensdaten.

Ein weiterer Diskussionspunkt ist das sogenannte Client-Side Scanning. Dabei werden Inhalte bereits auf dem Endgerät überprüft, bevor sie verschlüsselt versendet werden. Technisch gesehen wird die Verschlüsselung damit umgangen – der Schutz besteht dann nur noch formal, nicht mehr tatsächlich.

Warum das Unternehmen direkt betrifft

Für Unternehmen ist sichere Kommunikation kein „Nice-to-have“, sondern ein zentraler Bestandteil von Risikomanagement und Compliance. Ob vertrauliche Kundendaten, interne Strategiepapiere oder Vertragsinhalte – ohne verlässliche Verschlüsselung ist all das potenziell angreifbar.

Viele Organisationen setzen heute bewusst auf verschlüsselte Kommunikationslösungen: von sicheren Messengern über E-Mail-Verschlüsselung bis hin zu geschützten Kollaborationstools. Diese Maßnahmen sind nicht nur datenschutzrechtlich relevant, sondern sichern auch Wettbewerbsvorteile und Vertrauen.

Eine regulatorisch vorgeschriebene Schwächung der Verschlüsselung würde dieses Fundament infrage stellen. Selbst wenn die Absicht dahinter legitim ist, entsteht ein strukturelles Risiko, das sich nicht vollständig kontrollieren lässt.

Zwischen Sicherheit und Regulierung

Die aktuelle Debatte zeigt ein grundlegendes Spannungsfeld: Auf der einen Seite steht das berechtigte Interesse, strafbare Inhalte effektiv zu bekämpfen. Auf der anderen Seite steht die Notwendigkeit, sichere Kommunikationsräume zu erhalten.

Für Unternehmen bedeutet das vor allem eines: aufmerksam bleiben. Gesetzliche Entwicklungen auf EU-Ebene können direkte Auswirkungen auf bestehende Sicherheitskonzepte und Compliance-Anforderungen haben. Wer frühzeitig reagiert, kann Risiken besser einschätzen und geeignete Maßnahmen ergreifen.

Unsere Top 5

Setzen Sie konsequent auf Ende-zu-Ende-verschlüsselte Kommunikationslösungen.
Beobachten Sie die regulatorische Entwicklung auf EU-Ebene aktiv.
Dokumentieren Sie Ihre Verschlüsselungsmaßnahmen als Teil Ihrer technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO.
Sensibilisieren Sie Ihre Mitarbeitenden für den sicheren Umgang mit Kommunikationstools.
Prüfen Sie regelmäßig, ob Ihre eingesetzten Systeme auch künftig den Anforderungen an Vertraulichkeit entsprechen.

QM-Kennzahlen, die wirken: Messen, was wirklich zählt

Viele Unternehmen erfassen eine Vielzahl von Qualitätskennzahlen: Reklamationsquoten, Liefertermintreue oder Auditabweichungen.

22 Mai 2026

Viele Unternehmen erfassen eine Vielzahl von Qualitätskennzahlen: Reklamationsquoten, Liefertermintreue oder Auditabweichungen. Die Daten sind vorhanden – und dennoch bleibt die gewünschte Verbesserung aus. Der Grund liegt selten im Mangel an Kennzahlen, sondern vielmehr in deren Aussagekraft. Entscheidend ist nicht, was sich leicht messen lässt, sondern was tatsächlich zur Steuerung von Prozessen beiträgt.

Was die ISO 9001 wirklich verlangt

Die ISO 9001 stellt klar, dass Prozesse nicht nur definiert, sondern auch gesteuert und bewertet werden müssen. In Abschnitt 4.4.1 wird gefordert, Prozesse anhand geeigneter Leistungsindikatoren zu überwachen. Abschnitt 9.3 ergänzt dies durch die Managementbewertung, in der genau diese Ergebnisse analysiert werden.

In der Praxis bedeutet das: Wo von Prozessorientierung die Rede ist, spielen Kennzahlen eine zentrale Rolle – auch wenn sie nicht immer explizit genannt werden.

Ein bewährtes Modell zur Umsetzung ist der PDCA-Zyklus. Er macht deutlich, wie eng Kennzahlen mit kontinuierlicher Verbesserung verknüpft sind. In der Plan-Phase werden Ziele und Messgrößen definiert, in der Do-Phase Prozesse umgesetzt. Erst in der Check-Phase zeigt sich anhand von Kennzahlen, ob Ziele erreicht wurden. Ohne messbare Ergebnisse fehlt die Grundlage für die Act-Phase – also für konkrete Verbesserungsmaßnahmen.

Was gute Kennzahlen auszeichnet

Wirksame Kennzahlen zeichnen sich nicht durch ihre Menge, sondern durch ihre Relevanz aus. Dabei müssen sie nicht zwingend rein numerisch sein. Auch qualitative Indikatoren – etwa Zufriedenheitsskalen oder Ampelsysteme – können sinnvoll sein, solange sie den Zustand eines Prozesses realistisch abbilden.

Entscheidend ist vor allem, dass Kennzahlen drei Anforderungen erfüllen: Sie spiegeln das tatsächliche Prozessergebnis wider, werden regelmäßig erhoben und führen zu konkreten Entscheidungen. Kennzahlen, die lediglich dokumentiert, aber nicht genutzt werden, verursachen Aufwand ohne Mehrwert.

Ein weiterer zentraler Punkt ist die Verantwortung. Prozessverantwortliche, oft als „Process Owner“ bezeichnet, tragen die Aufgabe, Ziele festzulegen und die Zielerreichung zu überwachen. Fehlt diese klare Zuordnung oder wird sie nicht aktiv gelebt, entsteht kein wirksames Steuerungssystem – unabhängig davon, wie viele Kennzahlen vorhanden sind.

Kennzahlen als Steuerungsinstrument – nicht als Pflichtübung

In vielen Organisationen werden Kennzahlen zwar erhoben, aber nicht aktiv genutzt. Besonders in der Managementbewertung werden sie häufig als formaler Bestandteil behandelt, statt als zentrales Steuerungsinstrument.

Dabei liegt genau hier ihr größter Nutzen: Kennzahlen schaffen Transparenz, machen Entwicklungen sichtbar und liefern die Basis für fundierte Entscheidungen. Richtig eingesetzt, ermöglichen sie es, Prozesse gezielt zu verbessern und Ressourcen effizient einzusetzen.

Gleichzeitig sollten Unternehmen ihre Kennzahlen regelmäßig hinterfragen. Prozesse verändern sich, Märkte entwickeln sich weiter – und damit auch die Anforderungen an die Messgrößen. Was gestern sinnvoll war, kann heute bereits an Aussagekraft verlieren.

Unsere Top 5

Fokussiere dich auf Kennzahlen, die das Prozessergebnis abbilden – nicht nur den Aufwand
Reduziere die Anzahl auf wenige, wirklich aussagekräftige KPIs
Ordne jede Kennzahl klar einem verantwortlichen Prozessverantwortlichen zu
Nutze Kennzahlen aktiv in der Managementbewertung als Entscheidungsgrundlage
Überprüfe regelmäßig, ob deine Kennzahlen noch relevant und zielführend sind

Auftragsverarbeitung in der Praxis: Kennen Sie wirklich alle AVV-Pflichten?

Mit der Unterschrift beginnen die eigentlichen Pflichten erst.

15 Mai 2026

Viele Unternehmen schließen einen Vertrag zur Auftragsverarbeitung (AVV) ab, legen ihn ab – und haken das Thema innerlich ab. Doch genau hier liegt das Risiko: Mit der Unterschrift beginnen die eigentlichen Pflichten erst. Wer diese im Alltag nicht aktiv umsetzt, riskiert nicht nur organisatorische Probleme, sondern auch empfindliche Bußgelder.

Dieser Beitrag zeigt, worauf es in der Praxis wirklich ankommt – klar, verständlich und direkt umsetzbar.

AVV ist kein Formaldokument, sondern gelebte Praxis

Ein Vertrag zur Auftragsverarbeitung nach Artikel 28 der Datenschutz-Grundverordnung (DSGVO) regelt die Zusammenarbeit zwischen Verantwortlichem (z. B. Ihr Kunde) und Auftragsverarbeiter (z. B. Ihr Unternehmen als Dienstleister).

Wichtig dabei: Der AVV ist kein reines Dokument für die Ablage. Er definiert konkrete operative Pflichten, die in den täglichen Abläufen verankert sein müssen.

In der Praxis scheitert es häufig nicht am Wissen, sondern an fehlenden Prozessen.

Vier typische Stolperfallen im Arbeitsalltag:

1. Unterauftragsverarbeiter korrekt einbinden

Setzen Sie eigene Dienstleister ein (z. B. Hosting-Anbieter oder externe IT-Dienstleister), müssen diese dem Auftraggeber gemeldet werden.

Je nach Vertrag kann dafür eine aktive Zustimmung erforderlich sein oder ein sogenanntes Opt-out-Verfahren gelten. Dabei wird der Auftraggeber informiert und kann widersprechen. Unterschiedliche Fristen und Regelungen in verschiedenen AVVs machen diesen Prozess schnell unübersichtlich.

Ohne klare Struktur wird das zur Fehlerquelle.

2. Betroffenenanfragen richtig weiterleiten

Erhalten Sie als Auftragsverarbeiter eine Anfrage von betroffenen Personen (z. B. Auskunft über gespeicherte Daten), dürfen Sie diese in der Regel nicht selbst beantworten.

Stattdessen müssen Sie die Anfrage unverzüglich an den Verantwortlichen weiterleiten. Dieser ist rechtlich für die Beantwortung zuständig.

Fehlt ein definierter Prozess, werden Fristen schnell versäumt – mit entsprechenden Konsequenzen.

3. Datenpannen sofort melden

Kommt es zu einer Datenschutzverletzung (z. B. Datenverlust oder unbefugter Zugriff), gilt eine klare Regel:

Als Auftragsverarbeiter müssen Sie den Vorfall unverzüglich an den Verantwortlichen melden.

Die Entscheidung, ob eine Meldung an die Aufsichtsbehörde erfolgt, liegt ausschließlich beim Verantwortlichen – nicht bei Ihnen.

Zeitverzug oder Unsicherheit in der internen Kommunikation sind hier besonders kritisch.

4. Unterstützung bei Datenschutz-Folgenabschätzungen (DSFA)

In bestimmten Fällen müssen Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Dabei wird bewertet, welche Risiken eine Datenverarbeitung für betroffene Personen mit sich bringt.

Als Auftragsverarbeiter sind Sie verpflichtet, Ihren Auftraggeber dabei zu unterstützen – etwa durch technische Informationen oder Risikoeinschätzungen.

Unternehmen, die ihre Systeme und Prozesse gut dokumentiert haben, können hier deutlich effizienter reagieren.

Die oft unterschätzte Doppelrolle:

Viele Unternehmen nehmen gleichzeitig zwei Rollen ein:

Auftragsverarbeiter für ihre Kunden
Verantwortlicher gegenüber ihren eigenen Dienstleistern

Das bedeutet: Sie müssen AVV-Pflichten in beide Richtungen erfüllen, koordinieren und dokumentieren.

Ohne klare Struktur entsteht schnell ein organisatorisches Durcheinander – insbesondere bei mehreren Dienstleistern und Kunden.

Fazit: AVV-Compliance ist Prozessarbeit

Ein AVV ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Unternehmen, die klare Abläufe definieren und Verantwortlichkeiten festlegen, sind nicht nur rechtlich auf der sicheren Seite – sie arbeiten auch effizienter und professioneller.

Unsere Top 5

Prüfen Sie Ihre AVVs regelmäßig auf Aktualität und konkrete Pflichten
Etablieren Sie einen klaren Prozess für den Einsatz von Unterauftragsverarbeitern
Schulen Sie Mitarbeitende im Umgang mit Betroffenenanfragen
Definieren Sie feste Abläufe und Zuständigkeiten für Datenpannen
Führen Sie eine strukturierte Übersicht Ihrer AVV-Rollen (Verantwortlicher vs. Auftragsverarbeiter)

ISO 9001:2026 – Was sich wirklich ändert (und was nicht)

Von „kaum relevant“ bis „kompletter Systemumbau notwendig“. Wie so oft liegt die Wahrheit dazwischen.

08 Mai 2026

Im Herbst 2026 wird die überarbeitete ISO 9001:2026 veröffentlicht. Schon jetzt kursieren zahlreiche Einschätzungen – von „kaum relevant“ bis „kompletter Systemumbau notwendig“. Wie so oft liegt die Wahrheit dazwischen. Wer nüchtern auf den aktuellen Entwurf (Draft International Standard, kurz DIS) blickt, erkennt schnell: Die Änderungen sind überschaubar – aber nicht bedeutungslos.

Dieser Beitrag zeigt, worauf es wirklich ankommt und wie Unternehmen pragmatisch damit umgehen können.

Evolution statt Revolution

Die wichtigste Erkenntnis vorweg: Die neue Version baut auf der ISO 9001:2015 auf. Bestehende Qualitätsmanagementsysteme (QMS), die heute gut funktionieren, bleiben auch künftig tragfähig.

Die Norm wird nicht „neu erfunden“, sondern gezielt weiterentwickelt. Ziel ist vor allem, bestehende Anforderungen klarer zu formulieren und aktuelle Themen stärker sichtbar zu machen.

Qualitätskultur und ethisches Verhalten rücken in den Fokus

Eine der sichtbarsten Neuerungen betrifft die Rolle der obersten Leitung. In Abschnitt 5.1.1 wird künftig explizit gefordert, dass Unternehmen eine Qualitätskultur fördern und ethisches Verhalten aktiv unterstützen.

Das ist kein völlig neuer Gedanke. Viele Organisationen leben diese Prinzipien bereits – bisher jedoch oft implizit. Die Norm macht daraus nun eine klare Erwartung. Für die Praxis bedeutet das: Führungskräfte müssen stärker zeigen, wie Qualität und Werte im Alltag verankert sind.

Risiken und Chancen klarer getrennt

Ein weiterer Punkt betrifft den Umgang mit Risiken und Chancen. Künftig werden diese in Abschnitt 6.1 getrennt dargestellt – Risiken und Chancen erhalten jeweils eigene Unterpunkte.

Wichtig dabei: Es geht nicht darum, zwei vollständig getrennte Systeme aufzubauen. Vielmehr soll sichergestellt werden, dass Chancen nicht nur „mitgedacht“, sondern bewusst betrachtet werden. Unternehmen, die bisher stark risikoorientiert gearbeitet haben, sollten ihre Perspektive hier erweitern.

Klimawandel bleibt Bestandteil

Das Thema Klimawandel wurde bereits mit dem Amendment 2024 in die Norm aufgenommen und ist auch in der neuen Version enthalten. Es bleibt damit ein fester Bestandteil der Kontextanalyse.

Für Unternehmen heißt das: Externe Einflüsse wie Umweltveränderungen oder regulatorische Entwicklungen sollten weiterhin systematisch bewertet werden – allerdings ohne zusätzliche Bürokratie, sondern eingebettet in bestehende Prozesse.

Strategie und Kontext werden stärker verknüpft

Die strategische Ausrichtung eines Unternehmens wird künftig noch enger mit dem Qualitätsmanagement verzahnt. Der Kontext der Organisation – also interne und externe Einflussfaktoren – erhält mehr Gewicht.

Das stärkt die Rolle des QMS als Steuerungsinstrument. Qualität ist damit nicht mehr nur operative Aufgabe, sondern Teil der Unternehmensstrategie.

Was sich nicht ändert: Der große Umbau bleibt aus

Trotz aller Anpassungen bleibt die zentrale Botschaft: Ein kompletter Systemumbau ist nicht erforderlich.

Unternehmen mit einem etablierten QMS nach ISO 9001:2015 müssen in der Regel nur gezielt nachschärfen. Die Revision ist eher eine Gelegenheit zur Weiterentwicklung als ein Anlass für grundlegende Veränderungen.

Unsere Top 5

DIS frühzeitig prüfen und eigene Bewertung vornehmen – nicht auf externe Dramatisierung verlassen
Qualitätskultur und ethisches Verhalten bewusst sichtbar machen und im Alltag verankern
Chancen systematisch ergänzen – nicht nur Risiken betrachten
Umstellung rechtzeitig planen, insbesondere mit Blick auf Audits ab 2027
Revision als Impuls nutzen, das eigene QMS kritisch und ehrlich weiterzuentwickeln

PKV-Urteil zu Gesundheitsdaten: Was Unternehmen jetzt beachten müssen

Die Verarbeitung von Gesundheitsdaten gehört zu den sensibelsten Bereichen im Datenschutz.

01 Mai 2026

Die Verarbeitung von Gesundheitsdaten gehört zu den sensibelsten Bereichen im Datenschutz. Ein aktuelles Urteil des Bundesverwaltungsgericht aus März 2026 zeigt deutlich, wie eng die rechtlichen Grenzen hier gezogen sind – und warum das Thema längst nicht nur für private Krankenversicherungen relevant ist.

Der Fall: Wenn „gut gemeint“ nicht ausreicht

Im konkreten Fall wertete eine private Krankenversicherung Diagnosen aus Erstattungsanträgen aus, um Versicherten gezielt Vorsorgeprogramme anzubieten. Was auf den ersten Blick sinnvoll erscheint, wurde datenschutzrechtlich zum Problem.

Bereits 2022 hatte der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) diese Praxis beanstandet. Nach mehreren Instanzen stellte das Gericht nun klar: Diese Form der Datenverarbeitung ist unzulässig.

Der zentrale Punkt: Die Verarbeitung stützte sich auf ein „berechtigtes Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO. Doch bei Gesundheitsdaten greift ein deutlich strengerer Maßstab. Sie zählen zu den besonders geschützten Daten nach Art. 9 DSGVO – und hier reicht ein allgemeines Interesse in der Regel nicht aus.

Zudem wurden die Versicherten nicht ausreichend darüber informiert, dass ihre Diagnosedaten für zusätzliche Zwecke verwendet werden. Auch das stellt einen klaren Verstoß gegen die Transparenzanforderungen der DSGVO dar.

Warum das Urteil weit über die PKV hinausgeht

Die Entscheidung betrifft nicht nur Versicherungen. Sie ist ein deutliches Signal für alle Organisationen, die mit Gesundheitsdaten arbeiten – etwa Arbeitgeber, Gesundheitsdienstleister, Softwareanbieter oder Beratungen.

Der Kern der Botschaft:
Jeder Verarbeitungszweck benötigt eine eigene, belastbare Rechtsgrundlage. Ein „Mehrwert“ für die betroffene Person genügt nicht. Gerade bei sensiblen Daten ist die Schwelle bewusst hoch angesetzt.

Das bedeutet auch: Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht automatisch für andere – selbst naheliegende – Zwecke weiterverwendet werden. Eine klare Zweckbindung ist zwingend.

Typische Stolperfallen in der Praxis

In der täglichen Arbeit entstehen Risiken oft nicht aus böser Absicht, sondern aus pragmatischen Überlegungen. Genau hier liegt die Gefahr.

Ein klassisches Beispiel: Daten werden ursprünglich zur Abwicklung eines Prozesses erhoben – etwa zur Leistungsabrechnung – und später für zusätzliche Services oder Analysen genutzt. Ohne passende Rechtsgrundlage wird daraus schnell ein Datenschutzverstoß.

Auch unklare oder unvollständige Informationen gegenüber Betroffenen sind ein häufiger Fehler. Transparenz ist jedoch kein „Nice-to-have“, sondern eine zentrale Pflicht.

Was Unternehmen jetzt konkret tun sollten

Das Urteil macht deutlich, dass beim Umgang mit Gesundheitsdaten besondere Sorgfalt erforderlich ist. Unternehmen sollten ihre Prozesse kritisch prüfen und klar strukturieren.

Wichtig ist vor allem, die Zweckbindung konsequent einzuhalten und jede Verarbeitung sauber zu dokumentieren. Ebenso sollte frühzeitig geprüft werden, ob eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist – also eine strukturierte Risikoanalyse bei besonders sensiblen Verarbeitungen.

Nicht zuletzt lohnt es sich, den Datenschutzbeauftragten frühzeitig einzubinden. Gerade bei neuen Nutzungsideen für bestehende Daten lassen sich so Risiken vermeiden, bevor sie entstehen.

Unsere Top 5

Prüfe die Rechtsgrundlage für jede Verarbeitung von Gesundheitsdaten separat
Verlasse dich nicht auf „berechtigtes Interesse“ bei sensiblen Daten
Definiere und dokumentiere Verarbeitungszwecke klar und nachvollziehbar
Informiere Betroffene vollständig und verständlich über jede Datennutzung
Beziehe den Datenschutzbeauftragten frühzeitig in neue Vorhaben ein

LinkedIn-Kontakt ist keine Werbeeinwilligung: Was das Urteil des AG Düsseldorf für Unternehmen bedeutet

Die Nutzung von Business-Netzwerken wie LinkedIn gehört für viele Unternehmen längst zum Alltag.

24 April 2026

Die Nutzung von Business-Netzwerken wie LinkedIn gehört für viele Unternehmen längst zum Alltag. Kontakte werden geknüpft, Beziehungen aufgebaut und potenzielle Kunden identifiziert. Doch ein aktuelles Urteil des Amtsgericht Düsseldorf macht deutlich: Diese Vernetzung ersetzt keine rechtssichere Einwilligung für Werbemaßnahmen – insbesondere nicht für E-Mail-Marketing.

Für Marketing- und Vertriebsverantwortliche im B2B-Bereich ist das ein wichtiger Hinweis, denn hier herrscht oft die Annahme, geschäftliche Kontakte seien automatisch „ansprechbar“. Genau dieser Irrtum wird nun klar korrigiert.

Keine Einwilligung durch Vernetzung

Das Gericht stellt unmissverständlich klar: Allein die Verbindung auf Plattformen wie LinkedIn bedeutet nicht, dass eine Person oder ein Unternehmen Werbe-E-Mails erhalten möchte.

Die Begründung ist nachvollziehbar: Die Zustimmung zur Vernetzung bezieht sich ausschließlich auf die Nutzung innerhalb der Plattform. Eine Übertragung dieser Zustimmung auf andere Kommunikationskanäle – wie E-Mail – ist rechtlich nicht zulässig.

Damit wird ein häufiger Praxisfehler adressiert: Kontakte aus sozialen Netzwerken einfach in Newsletter-Verteiler oder CRM-Systeme zu übernehmen und aktiv zu bewerben.

B2B schützt nicht vor Werberecht

Ein besonders relevanter Punkt für Unternehmen: Die Vorschriften aus dem Gesetz gegen den unlauteren Wettbewerb(UWG) gelten ausdrücklich auch im B2B-Bereich.

Das bedeutet konkret:
Auch Unternehmen können sich gegen unzumutbare Belästigung durch Werbung wehren. Die oft vertretene Meinung, im Geschäftskontext sei mehr erlaubt, ist rechtlich nicht haltbar.

Wichtig ist dabei der Begriff der „Einwilligung“. Gemeint ist eine klare, aktive und nachweisbare Zustimmung zur werblichen Ansprache. Eine bloß angenommene („mutmaßliche“) oder indirekte („konkludente“) Einwilligung reicht nicht aus.

Was gilt für Nachrichten direkt auf LinkedIn?

Das Urteil lässt bewusst offen, wie Direktnachrichten innerhalb von LinkedIn zu bewerten sind. Hier könnte man im Einzelfall argumentieren, dass eine gewisse Erwartung an Kommunikation besteht.

Allerdings gilt auch hier:
Selbst wenn eine Kontaktaufnahme innerhalb der Plattform zulässig sein sollte, lässt sich daraus keine Erlaubnis für externe Werbung ableiten.

Die Grenze verläuft also klar zwischen:

Kommunikation innerhalb der Plattform
und werblicher Ansprache über andere Kanäle

Funktionspostfächer sind kein Sonderfall

Ein weiterer Praxispunkt betrifft allgemeine E-Mail-Adressen wie „info@“ oder „office@“. Auch hier gilt: Unternehmen sollten nicht davon ausgehen, dass solche Adressen frei für Werbung nutzbar sind.

Rechtlich werden diese Funktionspostfächer genauso behandelt wie personenbezogene Adressen. Ohne Einwilligung ist auch hier Werbung unzulässig.

Fazit: Ohne Einwilligung kein rechtssicheres Marketing

Das Urteil des Amtsgerichts Düsseldorf bestätigt eine klare Linie:
Werbung per E-Mail ohne ausdrückliche Einwilligung bleibt unzulässig – unabhängig davon, ob ein Kontakt über LinkedIn entstanden ist oder ob es sich um B2B-Kommunikation handelt.

Für Unternehmen bedeutet das vor allem eines:
Ein strukturiertes und dokumentiertes Einwilligungsmanagement ist keine Option mehr, sondern Voraussetzung für rechtssicheres Marketing. Wer darauf verzichtet, riskiert Abmahnungen und mögliche Bußgelder.

Unsere Top 5

Einwilligungen aktiv einholen: Setzen Sie auf klare, dokumentierte Opt-ins für jede Form der Werbung
LinkedIn nicht zweckentfremden: Nutzen Sie Kontakte nur innerhalb der Plattform oder mit separater Zustimmung
B2B realistisch bewerten: Auch Geschäftskunden sind vor unerwünschter Werbung geschützt
Prozesse sauber dokumentieren: Halten Sie Einwilligungen und Kommunikationswege nachvollziehbar fest
Alle E-Mail-Adressen gleich behandeln: Auch Funktionspostfächer benötigen eine gültige Einwilligung

Dienstleister-Audits nach DSGVO: Warum Kontrolle Pflicht ist – und kein Extra

Wer sie vernachlässigt, riskiert nicht nur Datenschutzverstöße, sondern auch empfindliche Konsequenzen bei Prüfungen.

17 April 2026

Viele Unternehmen verlassen sich darauf, dass ihre Dienstleister den Datenschutz schon „richtig machen“. Doch genau hier liegt ein häufig unterschätztes Risiko: Die Kontrolle von Auftragsverarbeitern ist keine freiwillige Zusatzleistung, sondern eine klare gesetzliche Pflicht. Wer sie vernachlässigt, riskiert nicht nur Datenschutzverstöße, sondern auch empfindliche Konsequenzen bei Prüfungen.

Dieser Beitrag zeigt, worauf es bei Dienstleister-Audits wirklich ankommt – und wie Unternehmen diese Aufgabe pragmatisch und wirksam umsetzen können.

Rechtlicher Rahmen: Verantwortung bleibt beim Unternehmen

Die Datenschutz-Grundverordnung (DSGVO) macht die Rollenverteilung eindeutig: Auch wenn externe Dienstleister personenbezogene Daten verarbeiten, bleibt die Verantwortung beim beauftragenden Unternehmen – dem sogenannten „Verantwortlichen“.

Konkret verlangt Art. 28 DSGVO, dass nur mit Dienstleistern zusammengearbeitet wird, die ausreichende Garantien für geeignete technische und organisatorische Maßnahmen (kurz: TOMs) bieten. Das bedeutet in der Praxis: Unternehmen müssen nicht nur vor Vertragsabschluss prüfen, sondern auch laufend kontrollieren, ob diese Anforderungen eingehalten werden.

Ebenso wichtig: Auftragsverarbeiter sind verpflichtet, Audits zu ermöglichen und aktiv zu unterstützen. Diese Mitwirkung ist kein Entgegenkommen, sondern gesetzlich vorgeschrieben.

Was bei einem Audit tatsächlich geprüft wird

Ein wirksames Dienstleister-Audit geht über reine Formalitäten hinaus. Im Fokus steht die Frage, ob Datenschutz im Alltag tatsächlich gelebt wird.

Die Bewertung orientiert sich an zentralen DSGVO-Grundsätzen wie:

Datenminimierung (nur notwendige Daten werden verarbeitet)
Zweckbindung (Daten werden nur für festgelegte Zwecke genutzt)
Wahrung von Betroffenenrechten (z. B. Auskunft oder Löschung)
Transparenz im Umgang mit Daten
Sicherheit durch Vertraulichkeit, Integrität und Verfügbarkeit

Darüber hinaus wird das gesamte Datenschutzmanagement des Dienstleisters betrachtet: Gibt es klare Prozesse? Werden Mitarbeitende geschult? Wie werden Sicherheitsvorfälle behandelt?

Ein gutes Audit verbindet dabei Dokumentenprüfung mit praxisnahen Einblicken – etwa durch Interviews oder Stichproben.

Auditkonzept statt Einzelmaßnahme

In der Praxis zeigt sich: Einzelne Prüfungen reichen nicht aus. Sinnvoll ist ein strukturiertes Auditkonzept, das festlegt, welche Dienstleister wann und wie geprüft werden.

Ein risikobasierter Ansatz hat sich bewährt. Das bedeutet: Dienstleister, die besonders sensible Daten (z. B. Gesundheitsdaten) oder große Datenmengen verarbeiten, werden intensiver und häufiger geprüft als weniger kritische Partner.

Zudem sollten Auditprozesse klar dokumentiert sein – von der Planung über die Durchführung bis zur Nachverfolgung von Maßnahmen. Das schafft nicht nur Transparenz, sondern ist auch im Falle einer behördlichen Prüfung ein entscheidender Vorteil.

Mehrwert statt Pflichtübung

Dienstleister-Audits werden oft als zusätzlicher Aufwand wahrgenommen. Richtig umgesetzt, sind sie jedoch ein wirkungsvolles Instrument des Risikomanagements.

Sie helfen dabei, Schwachstellen frühzeitig zu erkennen, Prozesse zu verbessern und die Zusammenarbeit mit Dienstleistern zu professionalisieren. Gleichzeitig stärken sie die eigene Compliance und reduzieren Haftungsrisiken.

Am Ende profitieren alle Beteiligten:
Unternehmen gewinnen Rechtssicherheit, Dienstleister optimieren ihre Abläufe – und die Daten der Betroffenen sind besser geschützt.

Unsere Top 5

Auditkonzept festlegen: Klare Kriterien, Zuständigkeiten und Prüfintervalle definieren
Risiken priorisieren: Besonders sensible oder umfangreiche Datenverarbeitungen zuerst prüfen
Verträge schärfen: Auditrechte, Fristen und Maßnahmen verbindlich im AV-Vertrag regeln
Nachweise sinnvoll nutzen: Zertifizierungen einbeziehen, aber nicht blind darauf verlassen
Ergebnisse dokumentieren: Audits sauber protokollieren und Maßnahmen konsequent nachverfolgen