Klick-web die Datenschutzexperten

13/04/2026

05/08/2025

Bei klick-web – die Datenschutzexperten berate ich Unternehmen täglich zu Datenschutz Fragen und manchmal schleichen sich auch Fragen zur IT-Sicherheit ein.
Ein Aspekt wird dabei oft unterschätzt: Die Urlaubszeit birgt für Unternehmen besondere Sicherheitsrisiken – gerade im digitalen Bereich.

Auch wenn Notebooks und Diensthandys in den Ferien ausgeschaltet bleiben und Abwesenheitsnotizen den Rest regeln sollen, schleichen sich genau hier Lücken ein, die Angreifer gezielt ausnutzen.

Abwesenheitsnotizen – mehr Risiko als gedacht
In vielen Unternehmen sind automatische Abwesenheitsnotizen Pflicht. Sie dienen der Kundeninformation und internen Organisation – und doch liefern sie häufig mehr Informationen preis, als notwendig.

Abwesenheitsmails verraten oft:

Dass ein Postfach aktiv ist (perfekt für Spammer),

Wer wann abwesend ist (perfekt für Einbrecher),

Und häufig auch Namen, Positionen, Telefonnummern und E-Mail-Adressen von Vertretungen (perfekt für gezielte Phishing-Versuche oder Social Engineering).

Mein Rat: Abwesenheitsnotizen sind kein Tabu – sie müssen nur durchdacht eingestellt werden. Hier sind fünf Tipps, wie Sie dabei vorgehen sollten:

Fünf einfache Maßnahmen für sichere Abwesenheitsnotizen
Trennung zwischen intern und extern: Viele Systeme (z. B. Microsoft Outlook/Exchange) erlauben es, unterschiedliche Nachrichten für interne und externe Kontakte zu definieren. Nutzen Sie diese Funktion!

Nur an bekannte externe Kontakte: Stellen Sie ein, dass nur externe Personen, die in Ihrem Adressbuch gespeichert sind, eine Abwesenheitsnotiz erhalten.

Keine Antworten auf Verteiler oder Newsletter: Verhindern Sie automatische Antworten an Massenverteiler – hier besteht ein hohes Risiko, dass sensible Informationen ungewollt geteilt werden.

Keine Reaktion auf CC oder BCC: Nur direkte Empfänger sollten eine automatische Antwort erhalten. Alles andere erhöht die Streuung unnötig.

Keine Antwort auf Spam-Mails: Viele Systeme erkennen bereits verdächtige Absender – stellen Sie sicher, dass diese von automatischen Antworten ausgeschlossen bleiben.

„Nur mal kurz reinschauen…“ – Warum Urlaub kein Sicherheitsfreifahrtschein ist
Viele Unternehmer*innen und Mitarbeitende in Schlüsselpositionen schaffen es nicht, im Urlaub komplett abzuschalten. Ein kurzer Blick ins Postfach ist schnell gemacht – besonders wenn das Smartphone beruflich und privat genutzt wird oder das mobile Datenpaket im Ausland keine Extrakosten verursacht.

Doch genau hier entstehen Risiken:

Öffentliche WLANs an Flughäfen, Bahnhöfen oder Hotels sind oft ungesichert. Wer hier ohne VPN auf Unternehmensdaten zugreift, öffnet Angreifern Tür und Tor.

Dual-SIM-Nutzung führt oft dazu, dass private und berufliche Daten nur einen Wisch voneinander entfernt liegen – ein klarer Angriffsvektor für Schadsoftware.

Phishing im Urlaub – wenn Entspannung zur Gefahr wird
Phishing-Angriffe setzen auf Stress oder Unachtsamkeit – und beides ist im Urlaub schnell gegeben. Besonders perfide: E-Mails mit Betreffzeilen wie „DRINGEND“ oder „Sicherheitsvorfall“, die Druck aufbauen. Eine unbedachte Reaktion kann genügen, um Schadsoftware zu aktivieren oder sensible Daten preiszugeben.

Drei einfache Regeln zum Schutz vor Phishing – auch im Urlaub:

Wachsam bleiben – auch am Strand: Prüfen Sie Absender, Inhalte und Anhänge sorgfältig, auch wenn Sie gerade entspannen.

Nicht vorschnell klicken: Eile ist ein Warnsignal. Wenn eine Mail Stress erzeugt, lieber erst genau hinschauen – und im Zweifel ignorieren.

Im Zweifel nachfragen: Ein kurzer Anruf beim Kollegen oder in der IT-Abteilung klärt vieles – und verhindert womöglich Schlimmeres.

Fazit: IT-Sicherheit macht keinen Urlaub
Urlaubszeit ist nicht gleich risikofrei. Wer beruflich erreichbar bleibt, sollte technische und organisatorische Maßnahmen treffen, um Sicherheitslücken zu vermeiden.
Das gilt für Geschäftsführende ebenso wie für Mitarbeitende im Vertrieb, Support oder Management.

Wenn du wissen möchtest, wie du dein Unternehmen ganzjährig sicher aufstellst – auch in der Ferienzeit – sprich mich gerne an.

Bei klick-web – die Datenschutzexperten unterstütze ich dich nicht nur beim rechtssicheren Datenschutz,
sondern auch beim Schutz deiner digitalen Infrastruktur – egal ob du gerade im Büro sitzt oder am Strand liegst.

05/08/2025

Neue DPC-Untersuchung gegen TikTok – Datenübermittlung nach China erneut im Fokus

Bei klick-web – die Datenschutzexperten verfolgen wir die Entwicklungen rund um internationale Datenschutzverstöße sehr genau. Besonders relevant ist aktuell ein neues Verfahren, das die irische Datenschutzkommission (DPC) am 10. Juli 2025 gegen TikTok eingeleitet hat. Hintergrund ist die Übermittlung und Speicherung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) auf Servern in China – entgegen früherer Aussagen des Unternehmens.

Was ist passiert?

TikTok hatte sich bereits in einem früheren Verfahren der DPC im Jahr 2025 erklären müssen. Damals gab das Unternehmen an, dass zwar ein Fernzugriff aus China möglich sei, die tatsächliche Speicherung der Daten aber ausschließlich außerhalb Chinas stattfinde.

Im April 2025 legte TikTok jedoch offen, dass bereits im Februar Daten europäischer Nutzer*innen sehr wohl – wenn auch in begrenztem Umfang – physisch auf chinesischen Servern abgelegt wurden. Diese späte Offenlegung widerspricht den vorherigen Angaben und hat die DPC veranlasst, ein neues Prüfverfahren einzuleiten. Besonders problematisch ist, dass die vorherige Entscheidung der DPC auf unvollständigen Informationen basierte – dieser neue Sachverhalt wird nun gesondert untersucht.

Rechtsgrundlagen und Prüfgegenstand

Die Untersuchung basiert auf Section 110 des irischen Data Protection Act 2018. Die zentralen Fragen betreffen mögliche Verstöße gegen grundlegende Bestimmungen der DSGVO, insbesondere:

Art. 5 Abs. 2 (Rechenschaftspflicht),

Art. 13 Abs. 1 lit. f (Informationspflichten bei Drittlandtransfers),

Art. 31 (Kooperation mit Aufsichtsbehörden),

sowie das gesamte Kapitel 5 (Bedingungen für Übermittlungen in Drittländer).

Im Fokus steht die Frage, ob TikTok eine rechtmäßige Grundlage für die Datenübermittlung nach China vorweisen kann. Da es für China keinen Angemessenheitsbeschluss der EU-Kommission gibt, muss TikTok andere geeignete Garantien nachweisen – etwa durch den Einsatz von Standardvertragsklauseln nach Art. 46 DSGVO. Dabei spielt auch die tatsächliche Umsetzung solcher Garantien eine zentrale Rolle.

Fernzugriff = Drittlandübermittlung

Wichtig zu wissen: Schon ein Fernzugriff auf Daten aus einem Drittland – selbst wenn die Daten physisch im EWR gespeichert bleiben – stellt datenschutzrechtlich eine Übermittlung in ein Drittland dar. Damit gelten dieselben Anforderungen wie bei einer echten Datenverlagerung.

TikTok war also in beiden Fällen mit denselben rechtlichen Herausforderungen konfrontiert – erst beim Fernzugriff, nun bei der physischen Speicherung. Beides fällt unter Kapitel 5 DSGVO.

Transparenz und Kooperation als Prüfmaßstab

Die DPC zeigt sich zunehmend kritisch gegenüber Unternehmen, die unvollständige oder irreführende Informationen liefern. Schon im Abschlussbericht der ersten Untersuchung äußerte die Behörde große Bedenken über die Zuverlässigkeit der von TikTok gemachten Angaben. Die Einleitung der neuen Prüfung ist eine direkte Konsequenz dieser Einschätzung.

Internationale Entwicklungen im Blick

TikTok steht nicht nur in Irland unter Beobachtung. Auch im Vereinigten Königreich wurde das Unternehmen jüngst zur Verantwortung gezogen: Am 4. Juli 2025 verhängte ein britisches Gericht eine Geldstrafe von 12,7 Millionen Pfund wegen Datenschutzverstößen – nach Vorschriften, die der DSGVO weitgehend entsprechen. Das Urteil ist zwar noch nicht rechtskräftig, unterstreicht aber die europaweite Aufmerksamkeit gegenüber der Datenpraxis von TikTok.

Was Unternehmen daraus lernen sollten

Für mich ist klar: Wer personenbezogene Daten verarbeitet – insbesondere grenzüberschreitend –, muss über belastbare interne Prozesse und eine transparente Kommunikation mit Aufsichtsbehörden verfügen. Unvollständige oder verspätete Offenlegungen können nicht nur rechtliche, sondern auch massive Reputationsschäden nach sich ziehen.

Als Datenschutzexperte unterstütze ich Unternehmen dabei, rechtssicher mit internationalen Datenflüssen umzugehen und Prüfverfahren souverän zu bestehen. Gerade bei sensiblen Themen wie Drittlandübermittlungen ist die dokumentierte Nachvollziehbarkeit das A und O.

05/08/2025

VG Köln hebt Fanpage-Verbot auf – Was bedeutet das für öffentliche Stellen?

Als Geschäftsführer von klick-web – die Datenschutzexperten verfolge ich regelmäßig aktuelle Entwicklungen im Datenschutzrecht. Ein aktuelles Urteil des Verwaltungsgerichts Köln vom 22. Juli 2025 hat für Aufsehen gesorgt: In dem Verfahren zwischen dem Bundespresseamt (BPA) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wurde ein Bescheid aufgehoben, der dem BPA den Betrieb einer Facebook-Fanpage untersagt hatte.

Worum ging es in dem Verfahren?

Der Streit hatte seinen Ursprung in einem Bescheid aus dem Jahr 2023, den der damalige BfDI, Prof. Ulrich Kelber, gegenüber dem Bundespresseamt erlassen hatte. Hintergrund war die Einschätzung, dass der Facebook-Auftritt der Bundesregierung gegen datenschutzrechtliche Vorgaben verstoße – insbesondere wegen unzureichender Einwilligungen beim Einsatz von Cookies durch Meta (Facebook). Aus Sicht des BfDI lag deshalb keine rechtsgültige Einwilligung der Seitenbesucher vor, was ein datenschutzkonformer Betrieb der Fanpage ausschließe.

Die Argumentation stützte sich auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH), wonach Betreiber von Fanpages und Meta gemeinsam für die Verarbeitung personenbezogener Daten verantwortlich sind (Stichwort: gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO).

Das Urteil und seine Folgen

Das Verwaltungsgericht Köln hat den Bescheid nun aufgehoben – die genauen Urteilsgründe stehen zwar noch aus, aber faktisch bedeutet das zunächst: Das Bundespresseamt darf seine Facebook-Fanpage weiterhin betreiben. Für viele öffentliche Stellen dürfte das eine aufmerksame Beobachtung wert sein. Denn die Frage, ob und unter welchen Bedingungen Behörden Social-Media-Kanäle datenschutzkonform nutzen können, bleibt hochrelevant.

Die neue BfDI, Prof. Dr. Louisa Specht-Riemenschneider, hat angekündigt, die schriftliche Urteilsbegründung sorgfältig zu prüfen. Ob eine Berufung beim Oberverwaltungsgericht Münster folgen wird, ist noch offen.

Was bedeutet das für die Praxis?

Als Datenschutzexperte sehe ich hier wichtige Implikationen für die Öffentlichkeitsarbeit von Behörden und öffentlichen Stellen. Auch wenn das BPA in diesem Fall vorerst erfolgreich war, bleibt die grundsätzliche Herausforderung bestehen: Der Betrieb von Fanpages auf Plattformen wie Facebook ist datenschutzrechtlich heikel – insbesondere, solange keine volle Transparenz über die Datenverarbeitung durch die Plattformbetreiber besteht.

Das Urteil könnte langfristige Auswirkungen haben – nicht nur auf Bundesebene, sondern möglicherweise bis hin zur Social-Media-Nutzung kommunaler Einrichtungen.

Ich bleibe für unsere Kunden und Leserinnen und Leser am Ball – und werde berichten, wie es in dieser Sache weitergeht.

22/07/2025

„Wenn du deine Daten so gut schützt wie deine Affäre – ruf uns lieber an.“
💼💋

📸💔 Kiss-Cam oder Karriere-Killer?

Der CEO von Astronomer und seine Personalchefin wurden beim Coldplay-Konzert in der VIP-Lounge von einer Handy-Kamera eiskalt erwischt – beim Fremdgehen.
- Das Netz? Kennt kein Pardon.
- Die Memes? Schneller viral als „Fix You“.
- Die Reaktion? Kündigung, Sh*tstorm, Hashtag .

🎥 Willkommen im Zeitalter der Totalüberwachung – powered by Smartphones und Social Media.

😬 Was viral geht, bleibt.
🔐 Was privat sein sollte, ist öffentlich.

Unser Tipp als Datenschutzexperten von klick-web:
🔒 Wer nicht will, dass sein Privatleben zur PR-Katastrophe wird, sollte nicht nur seinem Umfeld, sondern auch seinen Daten vertrauen können.
👉 Bei uns bleibt alles, was privat ist, auch wirklich privat.

klick-web – die Datenschutzexperten.

18/07/2025

Was passiert mit dem Auskunftsanspruch nach Art. 15 DSGVO nach dem Tod?
Der Auskunftsanspruch gemäß Art. 15 DSGVO ist ein zentrales Werkzeug für den Schutz der Privatsphäre – er gibt jeder betroffenen Person die Möglichkeit, zu kontrollieren, welche personenbezogenen Daten über sie verarbeitet werden. Als Gründer von klick-web – die Datenschutzexperten beschäftige ich mich regelmäßig mit der Frage, wie dieses Recht im Alltag greift. Aber was gilt, wenn die betroffene Person verstirbt? Können Angehörige oder Erben an ihrer Stelle Auskunft verlangen?

Im Folgenden gebe ich einen Überblick über die rechtliche Lage – insbesondere im deutschen Kontext.

Der Auskunftsanspruch – ein Überblick
Das Auskunftsrecht nach der DSGVO verschafft Transparenz: Betroffene Personen können nachvollziehen, welche Daten zu welchem Zweck verarbeitet werden und welche Empfänger Zugriff darauf haben. Dieses Recht dient der Kontrolle über die eigenen personenbezogenen Daten und ist Ausdruck informationeller Selbstbestimmung.

Ist das Auskunftsrecht vererbbar?
Grundsätzlich handelt es sich beim Auskunftsanspruch um ein sogenanntes höchstpersönliches Recht. Das bedeutet: Nur die betroffene Person selbst kann dieses Recht ausüben – es geht also nicht automatisch auf Dritte oder Erben über.

Die DSGVO selbst trifft keine klare Regelung für den Fall, dass die betroffene Person verstorben ist. Erwägungsgrund 27 stellt lediglich fest, dass die DSGVO nicht für Daten Verstorbener gilt. Gleichzeitig bleibt es den Mitgliedstaaten überlassen, nationale Regelungen für den Umgang mit diesen Daten zu schaffen.

Was regelt das deutsche Recht?
In Deutschland ist der Umgang mit Rechten Verstorbener teils durch das Bürgerliche Gesetzbuch (BGB) geregelt. Nach § 1922 BGB gehen vermögensrechtliche Ansprüche im Wege der Gesamtrechtsnachfolge auf die Erben über. Allerdings ist der datenschutzrechtliche Auskunftsanspruch primär kein vermögensrechtlicher, sondern ein Persönlichkeitsrecht.

Dennoch erkennt die juristische Praxis gewisse Ausnahmen an. Etwa dann, wenn Erben auf die Auskunft angewiesen sind, um eigene vermögensrechtliche Ansprüche geltend zu machen – zum Beispiel bei der Einsicht in Patientenakten oder bei der Regelung des digitalen Nachlasses (etwa Verträge, Onlinekonten oder Cloudspeicher des Verstorbenen).

In diesen Fällen wird häufig ein zivilrechtlicher Auskunftsanspruch anerkannt, sofern ein berechtigtes Interesse besteht. Die Fachliteratur ist sich hier allerdings nicht einig – es gibt auch Stimmen, die eine Vererbbarkeit grundsätzlich ablehnen.

Was gilt für Vorsorgebevollmächtigte?
Wenn die betroffene Person zu Lebzeiten eine Vorsorgevollmacht ausgestellt hat, kann die bevollmächtigte Person unter bestimmten Voraussetzungen Auskunft verlangen. Entscheidend ist dabei, ob die Vollmacht ausreichend konkret formuliert ist und den Bereich des Datenschutzes ausdrücklich mit abdeckt. Auch hier muss regelmäßig ein berechtigtes Interesse nachgewiesen werden.

Auskunft durch Erben – was ist zu beachten?
Ein Erbe, der Auskunft über die personenbezogenen Daten einer verstorbenen Person erhalten möchte, muss in der Regel zwei Dinge nachweisen:

Die eigene Stellung als Erbe, etwa durch einen Erbschein oder ein notarielles Testament.

Ein berechtigtes Interesse an der Auskunft, beispielsweise zur Klärung von Rechtsansprüchen, Vertragsverhältnissen oder offenen Forderungen.

Fazit
Der Auskunftsanspruch nach Art. 15 DSGVO bleibt auch nach dem Tod einer Person ein sensibles Thema. Während er grundsätzlich nicht vererbbar ist, gibt es wichtige Ausnahmen, etwa bei Vorsorgevollmachten oder zur Wahrung eigener Rechte der Erben. Letztlich ist die Frage, ob und in welchem Umfang Auskunft erteilt werden muss, immer im Einzelfall zu prüfen – auf Grundlage des nationalen Rechts und unter Abwägung der Interessen aller Beteiligten.

Als Datenschutzexperte begleite ich Mandantinnen und Mandanten leider auch ab und zu in solchen Fragen – gerade wenn es um sensible Informationen und eine rechtssichere Datenverarbeitung im Todesfall geht.

16/07/2025

Als Gründer von klick-web – die Datenschutzexperten beschäftige ich mich täglich mit der Frage, wie Webseiten nicht nur funktional, sondern auch datenschutzrechtlich einwandfrei gestaltet werden können.

Ein aktueller Fall zeigt, wie relevant dieses Thema ist: Anfang des Jahres hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) rund 200 Webseiten von Bundesbehörden automatisiert geprüft. Das Ergebnis war eindeutig – in 40 Fällen wurden YouTube-Videos datenschutzwidrig eingebunden.

Was genau ist das Problem?
Viele Webseiten nutzen YouTube-Videos, um Inhalte ansprechend zu präsentieren. Das ist grundsätzlich auch kein Problem – solange die datenschutzrechtlichen Vorgaben eingehalten werden. Doch in der Praxis sieht es oft anders aus: Wird ein YouTube-Video direkt eingebettet, werden häufig bereits beim Laden der Seite personenbezogene Daten wie die IP-Adresse an Google bzw. YouTube übermittelt – noch bevor der Nutzer seine Einwilligung gegeben hat. Zudem können dabei Cookies gesetzt werden, ohne dass der Besucher aktiv etwas abgespielt hat.

Laut geltendem Recht – insbesondere der DSGVO und dem § 25 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) – ist das nicht zulässig. Die Einbindung solcher Videos gilt nämlich in der Regel nicht als technisch notwendig für den Betrieb der Seite. Ohne eine vorherige, freiwillige Einwilligung ist diese Datenverarbeitung damit rechtswidrig.

Wie können YouTube-Videos datenschutzkonform eingebunden werden?
Ich empfehle grundsätzlich zwei Lösungen, die auch von der BfDI vorgeschlagen werden:

Selbst gehostete Videos:
Die datenschutzfreundlichste Variante: Lade die Videos auf deinen eigenen Server hoch und binde sie direkt ein. So hast du die volle Kontrolle über die Datenverarbeitung und verzichtest komplett auf Drittanbieter.

Zwei-Klick-Lösungen:
Wenn du weiterhin Videos über YouTube nutzen möchtest, kannst du sogenannte Zwei-Klick-Lösungen einsetzen. Dabei wird zunächst nur ein Vorschaubild angezeigt – das eigentliche Video wird erst nach einem aktiven Klick geladen. Erst dann erfolgt die Verbindung zu YouTube. Wichtig: Auch hier sollte eine datenschutzkonforme Alternative angeboten werden – zum Beispiel ein Text oder Link mit denselben Informationen.

Neue Prüfmethoden – mehr Transparenz, mehr Konsequenzen
Die BfDI nutzt mittlerweile digitale Werkzeuge, um Webseiten systematisch auf Datenschutzverstöße zu prüfen. Im aktuellen Fall wurden nur öffentliche Stellen überprüft – doch es ist gut möglich, dass auch Unternehmen und private Webseitenbetreiber bald verstärkt ins Visier geraten.

Mein Fazit:
Datenschutz ist kein optionaler Zusatz, sondern eine gesetzliche Pflicht – gerade wenn es um externe Dienste wie YouTube geht.
Du bist unsicher, ob deine Webseite rechtskonform ist?

Dann melde dich bei mir – ich unterstütze dich gerne dabei, datenschutztechnisch auf der sicheren Seite zu stehen.

21/06/2025

Das Barrierefreiheitsstärkungsgesetz (BFSG) tritt ab dem 28. Juni 2025 in Kraft und verpflichtet Unternehmen dazu, ihre digitalen Angebote barrierefrei zu gestalten. Das betrifft insbesondere Webseiten, Online-Shops und digitale Dienstleistungen.

Wer ist betroffen?
Alle Unternehmen, die Produkte und Dienstleistungen online anbieten, müssen sicherstellen, dass ihre Webangebote den Richtlinien zur Barrierefreiheit entsprechen. Besonders betroffen sind:

Online-Shops und Buchungssysteme
Bank- und Finanzdienstleistungen
Telekommunikationsdienste
Personenverkehrsdienste
Elektronischer Geschäftsverkehr allgemein

https://www.klick-web.de/bfsg-order

31/05/2025

🔐 Vertrauen ist gut. Zertifizierung ist besser.
Wir bieten Datenschutz mit TÜV-Siegel –
weil dein Unternehmen mehr verdient als Standardlösungen und Copy-Paste-Texte.

✅ TÜV Rheinland-zertifizierte Datenschutzprozesse
✅ Gelebt. Geprüft. Nachweisbar.
✅ Vertrauen mit Substanz – intern wie extern

💡 Für alle, die Datenschutz nicht nur behaupten, sondern belegen wollen.
🔎 Jetzt prüfen lassen, wie sicher dein Datenschutz wirklich ist.

🔗 www.klick-web.de

30/05/2025

🔐 Zertifizierter Datenschutz?
Können wir.
Bieten wir.
Leben wir.

💼 Bei uns gibt’s keine leeren Versprechen, sondern TÜV-geprüfte Sicherheit.
Unsere Datenschutzprozesse sind nach strengen Standards zertifiziert –
für deine Sicherheit, deine Kunden und deine Rechtssicherheit.

✅ DSGVO-konform
✅ TÜV Rheinland-zertifiziert
✅ Praxisnah umgesetzt
✅ Für Unternehmen, die Verantwortung ernst nehmen

💡 Ob Website, interner Prozess oder Mitarbeiterschulung:
Wir bringen zertifizierten Datenschutz in deinen Alltag.

📲 Mehr erfahren: www.klick-web.de