Vortrag von Rechtsanwältin Sabine Sobola im Rahmen der "Ausbildung zu zertifizierten fachkundigen IT-Sicherheitsbeauftragten (IT-Security Manager)" bei der Ulmer Akademie für Datenschutz und IT-Sicherheit (udis) am 02. - 03.03.2026 in Ulm.
Vortrag von Rechtsanwältin Sabine Sobola zum Thema "NIS-2 ist da: Betroffenheit, Pflichten und Haftung der Geschäftsleitung" im Rahmen einer Veranstaltung des Landratsamts Neumarkt am 25.02.2026.
Die Verarbeitung personenbezogener Daten ist gesetzlich streng reguliert, um die Freiheiten und Grundrechte der Betroffenen zu wahren. Insbesondere Kinder genießen einen besonderen rechtlichen Schutz, der in mehreren übergeordneten Regelwerken verankert ist.
Da Kinder Risiken oft weniger gut einschätzen können, greifen bei ihnen besondere DSGVO-Regelungen (z.B. im Erwägungsgrund 38 der DSGVO). Auch bei einer Interessenabwägung (berechtigtes Interesse des Verantwortlichen) gelten deutlich höhere Hürden, wenn Kinder betroffen sind. Zudem ist die Einwilligung von Minderjährigen bei der Nutzung von sogenannten Diensten der Informationsgesellschaft (z. B. Social Media oder Streaming-Dienste) an besondere und strengere Bedingungen geknüpft.
Praxistipp:
Die „Stiftung Datenschutz“ hat ein Gutachten sowie eine darauf basierende Handreichung veröffentlicht, um ehrenamtlich Engagierten und Vereinen praxisnahe Hilfestellung und rechtliche Sicherheit bei der Verarbeitung von Kinder- und Jugenddaten zu geben.
Gutachten: Das besondere Schutzbedürfnis von Kindern und Jugendlichen, Autorin: Dr. Diana Ettig
Handreichung: Das besondere Schutzbedürfnis von Kindern und Jugendlichen
Stand: 25.02.2026
Wenn ein deutsches Unternehmen einen Anteilskauf eins österreichischen Unternehmens plant, müssen mehrere Vereinbarungen getroffen werden. Da sowohl Deutschland als auch Österreich Mitgliedstaaten der EU sind, gilt für beide Unternehmen die DSGVO. Es braucht also für den Share-Deal (und wahrscheinlich auch die Zeit davor, die sog. Due Diligence-Phase“) eine Rechtsgrundlage, damit die Daten vom Partner überhaupt verarbeitet werden dürfen. Aus unserer Sicht kommt hier nur das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) in Frage, etwa an einer effizienten Unternehmenszusammenarbeit.
Zudem müssen die betroffenen Mitarbeiter in beiden Ländern darüber transparent informiert werden nach Art. 13/14 DSGVO, dass ihre Daten an das jeweils andere Partnerunternehmen weitergegeben werden.
Denn, es gilt generell: Mitarbeiterdaten (wie Namen, Kontaktdaten, Qualifikationen, Gehaltsdaten, etc.) dürfen nicht „einfach so“ ausgetauscht werden. Welche konkreten Vereinbarungen getroffen werden müssen, hängt davon ab, welche Rolle die beiden Unternehmen bei der Datenverarbeitung spielen.
Aus Datenschutzperspektive gibt es hier verschiedene mögliche Wege.
1.Die Auftragsverarbeitung (Art. 28 DSGVO)
Beispiel:
Das eine Unternehmen verarbeitet die Mitarbeiterdaten streng nach den Weisungen des anderen Unternehmens. Es hat kein eigenes Interesse an den Daten. (Beispiel: Das österreichische Unternehmen übernimmt als reiner IT-Dienstleister das Hosting der Personalsoftware für das deutsche Unternehmen).
Notwendige Vereinbarung:
Abschließen eines Auftragsverarbeitungsvertrags (AVV)
Darin wird genau geregelt, was der Dienstleister mit den Daten machen darf, wie er sie schützt und dass er sie nach Beendigung der Zusammenarbeit löschen muss.
2. Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Beispiel: Beide Unternehmen entscheiden gemeinsam über den Zweck und die Mittel der Verarbeitung.
Es wird ein gemeinsames Projektteam aufgebaut und es wird eine gemeinsame, länderübergreifende Datenbank zur Projekt- und Ressourcenplanung genutzt, in die beide Seiten Mitarbeiterdaten eintragen.
Notwendige Vereinbarung:
Vereinbarung über die Gemeinsame Verantwortlichkeit (Joint Controllership Agreement)
Darin muss vor allem transparent geregelt sein, wer welche DSGVO-Pflichten erfüllt (z. B. wer Auskunftsersuchen der betroffenen Mitarbeiter beantwortet).
3. Getrennte Verantwortlichkeit (Controller-to-Controller)
Beispiel: Das deutsche Unternehmen gibt Daten an das österreichische Unternehmen, damit dieses die Daten für eigene Zwecke verarbeitet – und umgekehrt.
Beispiel: Rechtsberatung oder Steuerberatung
Hierzu fordert die DSGVO keinen speziellen Vertrag. Es ist jedoch dringend zu empfehlen, ein NDA (Non-Disclosure Agreement / Vertraulichkeitsvereinbarung) abzuschließen, um den Zweck der Datenweitergabe vertraglich abzusichern. Wir empfehlen in einem solchen Fall zudem den Abschluss eines „Data Sharing Agreemens“ (Datenaustauschvertrag).
„Die DS-GVO führt zu einer Anhebung des Datenschutzniveaus, stellt jedoch die Verantwortlichen vor neue Herausforderungen. Oftmals kann eine Verarbeitung nicht sensibler personenbezogener Daten im Rahmen einer Due Diligence nach Art. 6 I 1 Buchst. f DS-GVO gerechtfertigt werden. Es muss dabei allerdings genau geprüft werden, welche Daten für den Interessenten von Bedeutung sind, um die Erforderlichkeit der Verarbeitung bejahen zu können. Die nach Art. 13 III DS-GVO grundsätzlich vorliegende Informationspflicht stellt für mögliche Geheimhaltungsinteressen der Verantwortlichen eine Gefahr dar. Nach der hier vertretenen Auffassung ist aber mit einer Analogie des Art. 14 V Buchst. b DS-GVO oder einer weiten Auslegung von Art. 13 III DS-GVO derzeit eine Datenverarbeitung im Rahmen der Due-Diligence-Phase datenschutzkonform. Möchte allerdings jeglichen Risiken aus dem Weg gegangen werden, sollten bestenfalls so viele personenbezogene Daten wie möglich anonymisiert werden, um gar nicht erst dem Anwendungsbereich der DS-GVO zu unterfallen. Solange jedoch keine Legal-Tech-Software existiert, die dies übernehmen kann, ist dieser Weg aufgrund des damit verbundenen Aufwands oftmals eher praxisfern. Sofern in Zukunft mit einer solchen Software gearbeitet wird, ist zu beachten, dass mitunter Auftragsverarbeitungsverträge nach Art. 28 DS-GVO zu schließen sind.“ (EuZW 2020, 175, beck-online)
Stand: 25.02.2026
Beschluss des OLG München vom 18.02.2026 - 34 Wx 36/26 e
Aus dem Sachverhalt:
Ein Antragsteller begehrte beim Grundbuchamt die Auskunft über den Namen und die Anschrift eines Grundstückseigentümers mit der Begründung, diesem ein Kaufangebot unterbreiten zu wollen. Die zuständige Urkundsbeamtin und anschließend die Rechtspflegerin lehnten den Antrag ab. Die hiergegen gemäß § 12c Abs. 4 Satz 2 i. V. m. § 71 Abs. 1 GBO (Grundbuchordnung) eingelegte Beschwerde des Antragstellers wurde vom zuständigen Gericht als unbegründet zurückgewiesen.
Aus den Entscheidungsgründen:
Das Gericht stützte die Abweisung der Beschwerde im Wesentlichen auf folgende rechtliche Erwägungen: Die Einsicht in das Grundbuch oder die Erteilung von Auskünften daraus setzt ein berechtigtes (sachliches) Interesse voraus, um die Verfolgung unbefugter Zwecke auszuschließen. Ein bloßes allgemeines Kaufinteresse oder der Wunsch, den Eigentümer zwecks eines möglichen Verkaufs zu ermitteln, erfüllt diese Voraussetzung nicht. Ein berechtigtes Interesse entsteht nach ständiger Rechtsprechung erst dann, wenn bereits konkrete Kaufverhandlungen mit dem Eigentümer aufgenommen wurden.
Das Grundbuchamt hat im Einzelfall abzuwägen und Unbefugten keinen Einblick in die Rechts- und Vermögensverhältnisse zu gewähren.
Der Eigentümer wird durch sein Recht auf informationelle Selbstbestimmung davor geschützt, gegen seinen Willen mit Anfragen konfrontiert zu werden.
Der einseitige Wunsch des Antragstellers, mit dem Eigentümer in Kontakt zu treten, begründet noch kein vorvertragliches Schuldverhältnis, aus dem sich ein Auskunftsanspruch ableiten ließe.
Die Vorschriften der DSGVO und des BDSG begründen in diesem Fall keinen Auskunftsanspruch. Die Regelungen der GBO gehen als Spezialgesetz (lex specialis) vor. Zudem regelt Art. 6 Abs. 1 lit. f DSGVO lediglich die Voraussetzungen für die Rechtmäßigkeit einer Datenverarbeitung, stellt aber keine Rechtsgrundlage für die Herausgabe von Daten an Dritte dar.
Stand: 25.02.2026
Stellungnahme an den Bundestag bzw. einzelne Abgeordnete zum Thema Abschaffung des §38 BDSG
Online-Seminar von Rechtsanwältin Sabine Sobola zum Thema „Datenschutz Beginner - Datenschutz leicht gemacht" im Rahmen einer Veranstaltung der LiiDU GmbH vom 09.-.10.02.2026.
Online-Vortrag von Rechtsanwältin Sabine Sobola zum Thema „NIS-2 für Datenschutzbeauftragte und Datenschutzkoordinatoren: Die neuen gesetzlichen Vorgaben im IT-Sicherheitsrecht aus Datenschutzsicht –NIS-2, NIS2UmsuCG und CRA" im Rahmen einer Veranstaltung der TÜV Nord Akademie am 23.01.2027.
Online-Seminar von Rechtsanwältin Sabine Sobola zum Thema "IT-Sicherheitsrecht 2026: Intensivseminar zu allen gesetzlichen Neuerungen rund um NIS-2, KRITIS-Dachgesetz und CRA" im Rahmen einer Veranstaltung der LiiDU GmbH am 22.01.2026.
Urteil des OVG Rheinland-Pfalz vom 28.11.2025 (AZ: 10 A 11059/23.OVG)
Aus dem Sachverhalt:
Die Klägerin ist die Alleinerbin ihrer verstorbenen Ehefrau. Diese hatte vor ihrem Tod ein Institut beauftragt, eine genetische Tumoranalyse durchzuführen. Ein externer Onkologe erbrachte zusätzlich Beratungsleistungen und stellte diese separat in Rechnung. Die Klägerin vermutete einen Datenschutzverstoß, da Patientendaten ohne ausdrückliche Einwilligung an den Onkologen übermittelt worden seien. Sie wandte sich an die Datenschutzaufsichtsbehörde (den Beklagten), um eine Prüfung zu erzwingen. Die Behörde lehnte dies jedoch ab und stellte das Verfahren ein. Die Klägerin klagte daraufhin mit dem Ziel, die Behörde zu einer Neubescheidung der Beschwerde zu verpflichten. Sie argumentierte, die Datenschutzrechte ihrer Frau gehörten zum digitalen Nachlass und seien im Wege der Gesamtrechtsnachfolge (§ 1922 BGB) auf sie übergegangen.
Aus den Entscheidungsgründen:
Das OVG wies die Berufung der Klägerin zurück. Die Klage ist zwar zulässig, aber unbegründet, da die Klägerin kein Recht zur Führung einer Datenschutzbeschwerde für die Verstorbene hat. Das Beschwerderecht nach Art. 77 Abs. 1 DSGVO ist ein höchstpersönliches Recht. Es steht nur der „betroffenen Person“ zu. Da der Datenschutz der DSGVO explizit auf lebende natürliche Personen zugeschnitten ist (bestätigt durch Erwägungsgrund 27), endet die Betroffenenstellung und damit das Beschwerderecht grundsätzlich mit dem Tod. Das Recht zur Beschwerde ist kein Bestandteil des Vermögens und geht daher nicht nach § 1922 BGB auf die Erben über. Es ist kein „Annexrecht“ zu einem übernommenen Vertrag, sondern dient der individuellen informationellen Selbstbestimmung, die nach dem Tod nicht mehr ausgeübt werden kann. Zwar erlaubt die DSGVO den Mitgliedstaaten, eigene Regeln für die Daten Verstorbener zu treffen, doch der deutsche Gesetzgeber hat keinen allgemeinen postmortalen Datenschutz mit Beschwerderecht geschaffen. Bereitgestellte Sonderregeln (z. B. im Steuer- oder Sozialrecht) greifen hier nicht, da es sich um eine rein privatärztliche Leistung handelte. Das postmortale Persönlichkeitsrecht schützt Verstorbene zwar vor grober Herabwürdigung, verleiht den Angehörigen aber kein allgemeines Kontrollrecht über die Datenverarbeitung im Sinne der DSGVO.
Fazit:
Erben können keine Datenschutzbeschwerden für Verstorbene einlegen, da der Schutz der DSGVO mit dem Tod endet und das Beschwerderecht nicht vererblich ist.
Stand: 28.01.2026