Datenschutzwoche
DSK-Orientierungshilfe zur Einholung von Selbstauskünften von Mietinteressenten
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat die „Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressent:innen“ in der Version 2.0 mit Stand Januar 2026 veröffentlicht. Je weiter der Vermietungsprozess fortgeschritten ist (Besichtigung, Interessenbekundung, finale Auswahl), desto mehr Informationen und personenbezogene Daten dürfen nach den Maßstäben der DSK abgefragt werden.
Konkret listet die zehnseitige Orientierungshilfe verschiedene Fälle von Datenerhebungen auf und erklärt, ob diese erlaubt sind oder nicht. Dabei geht es um die Fragen, ob das Interesse der Vermieter an den personenbezogenen Daten berechtigt und ob die Datenerhebung zur Durchführung des Mietvertrags erforderlich ist. Außerdem muss abgewogen werden, ob das Recht der Mietinteressenten auf Datenschutz nicht entgegensteht. Schließlich klärt die Orientierungshilfe auf, wann erhobene Daten wieder gelöscht werden müssen.
Cloud-Computing: BSI veröffentlicht 2026-Version des C5-Kriterienkatalogs
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Version des C5-Kriterienkatalogs veröffentlicht. Der Cloud Computing Compliance Criteria Catalogue (C5) ist seit 2016 der deutschlandweit wichtigste Sicherheitsstandard für Cloud-Anwendungen. Prüfungen nach C5 werden von Wirtschaftsprüferinnen und -prüfern durchgeführt. Die neue Version wurde unter Berücksichtigung von Entwicklungen der vergangenen Jahre weiterentwickelt. Themen wie Container-Management, Post-Quanten-Kryptographie und Confidential Computing werden im C5 der neuen Generation erstmals dezidiert aufgegriffen, während bestehende Themen wie Mandantentrennung und Supply Chain Management noch detaillierter adressiert werden.
Der C5:2026 ist inhaltlich und strukturell eng an den Ergebnissen aus den Arbeiten am europäischen Zertifizierungsschema EUCS angelehnt. Darüber hinaus wurden die aktuellen Versionen weiterer relevanter Anforderungsdokumente wie die CSA Cloud Controls Matrix Version 4, ISO/IEC 27001:2022 und die NIS2-Direktive berücksichtigt. Für die Neuauflage hatte das BSI zudem über einen Community Draft die praktischen Erfahrungen von Cloud-Anbietern, -Prüfern sowie -Beraterinnen und -Beratern berücksichtigt.
Die zunächst auf Englisch erschiene Version wird noch um eine deutschsprachige Fassung ergänzt und steht in verschiedenen Dateiformaten zur Verfügung. Ergänzend wird das BSI in Kürze allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen.
Internationale Nachrichten
Europa: Brief des EDSA an die Europäische Kommission betreffend der Registrierungspflichten für International Non-Governmental Organziations („INGO registration requirements“).
Europa: Bericht des EDSA über 2025 durchgeführte Projekte des SPE (Support Pool of Experts). Der SPE ist ein Baustein der Säule 2 der EDSA-Strategie 2024-2027.
Europa: Die am 15.04.2026 von der EU-Kommissionspräsidentin Ursula von der Leyen vorgestellte EU-App, die eine datenschutzfreundliche Altersverifizierung ermöglichen sollte, wurde von Sicherheitsexpert*innen binnen weniger Minuten gehackt und hat dadurch gravierende Sicherheitsprobleme offenbart.
Frankreich: Die französische Datenschutzaufsicht CNIL hat Empfehlungen zur Einhaltung von DSGVO-Vorgaben bei der Entwicklung von KI-Systemen veröffentlicht.
Italien: Die italienische Datenschutzaufsichtsbehörde GPDP hat gegen die Betreiber der Apps „BancoPosta“ und „Postepay“ ein Bußgeld in Höhe von 5.877.000 EUR verhängt. Sanktioniert werden u.a. zu weitgehende Zugriffsrechte auf Inhalte und Daten in den mobilen Endgeräten, eine fehlende Datenschutz-Folgenabschätzung sowie unzureichende technisch-organisatorische Maßnahmen.
Aktuelle Gerichtsentscheidungen
OLG Celle, Beschluss vom 18.12.2025, Az. 3 ORbs 113/25 (BeckRS 2025, 42849): Anpassung des Bußgelds der Landesbeauftragten für den Datenschutz in Niedersachsen gegen notebooksbilliger.de auf 900.000 EUR. Das Bußgeld aus dem Jahre 2021 wegen Verstößen bei der Videoüberwachung von Beschäftigten hatte zunächst 10,4 Mio. EUR betragen, wurde durch das Landgericht Hannover erstinstanzlich auf 700.000 EUR herabgesetzt und anlässlich der Rechtsbeschwerde der Staatsanwaltschaft Hannover durch das Rechtsbeschwerdegericht OLG Celle „moderat angehoben“.
VG Hamburg, Urteil vom 22.01.2026, Az. 17 K 2480/23 (BeckRS 2026, 5914): Das Verwaltungsgericht Hamburg hat durch das Urteil aufsichtsbehördliche Abhilfebefugnisse nach Art. 58 DSGVO gegenüber Suchmaschinenbetreibern auf konkrete Auslistungsanordnungen beschränkt. Die Landesdatenschutzaufsichtsbehörde darf Google nicht verpflichten, bei Namenssuche einer betroffenen Person proaktiv und abstrakt bestimmte Suchergebnisse mit pornografischen oder ähnlichen Inhalten weltweit zu blockieren. Eine solche Untersagungsanordnung überschreitet die datenschutzrechtlichen Eingriffsbefugnisse gegenüber Suchmaschinenbetreibern nach der DSGVO.
Neuigkeiten aus den Aufsichtsbehörden:
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Pressemitteilung der DSK zum Austausch mit spezifischen Datenschutzaufsichtsbehörden zu Beschwerden und digitaler Gewalt.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz: Gemeinsame Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg und der Deutschen Universität für Verwaltungswissenschaften in Speyer vom 20.04.2026
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: Verarbeitung des Geburtsdatums im Zusammenhang mit der Betriebsratswahl 2026.