datenschutz notizen | News-Blog der DSN GROUP

Klemmbrett mit der Aufschrift TOM'S mit Checkboxen und Stift

DSGVO – information privacy standard – Kapitel P.5 – Technisch-organisatorische Maßnahmen

Willkommen zu einem weiteren Teil unserer Blogreihe zur DSGVO-Zertifizierung nach dem „DSGVO – information privacy standard“. In diesem Beitrag widmen wir uns dem Kapitel P.5 – Technisch-organisatorische Maßnahmen – einem Kernbestandteil des Datenschutzes in der praktischen Umsetzung. Technische und organisatorische Maßnahmen (kurz: TOM) sind mehr als nur Sicherheitsvorkehrungen – sie sind der zentrale Hebel, um […]

David Stierle | 16. Mai 2025 | Allgemein | Anonymisierung, Blogreihe DSGVO – information privacy standard, DSGVO – information privacy standard, DSGVO-Zertifikat, Eingabekontrolle, Pseudonymisierung, technisch organisatorische Maßnahmen, technische und organisatorische Maßnahmen, TOM, Transportkontrolle, Trennungskontrolle, Verfügbarkeitskontrolle, Zugangskontrolle, Zugriffskontrolle, Zutrittskontrolle

Blick auf ein Schild mit dem Wappen der Schweiz nehmen einer Straße und mit Bergen im Hintergrund.

Schweiz: Leitfaden des EDÖB zur Meldung von Datensicherheitsverletzungen

Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das schweizerische Datenschutzgesetz (DSG) regeln den Umgang mit Verletzungen des Schutzes personenbezogener Daten (ugs. Datenpanne) bzw. Datensicherheitsverletzungen, wie es in der Schweiz genannt wird. Beide Regelwerke definieren, was unter einer Datenpanne zu verstehen ist und unter welchen grundsätzlichen Voraussetzungen ein entsprechender Vorfall zu melden ist. Der Gesetzeswortlaut ist jeweils […]

Theresa Leitermann | 15. Mai 2025 | Aufsichtsbehörden | betroffene Person, Datenpanne, Datenschutzverletzung, Datensicherheitsverletzung, DSFA, DSG, DSGVO, DSV, Leitfaden Data Breach, Meldepflicht, Risiko, Schweiz

Illustration mit verschiedenen Icons rund um den Begriff DSGVO

DSGVO-Verstoß: BAG erkennt Schadensersatzanspruch des Beschäftigten an

Das Bundesarbeitsgericht (BAG) hat jüngst in einem Urteil (BAG-Urteil von 08.05.2025, Az. 8 AZR 209/21) entschieden, dass ein Arbeitgeber dem betroffenen Mitarbeitenden gegenüber schadensersatzpflichtig sein kann, wenn er sensible Daten mit einer anderen Gesellschaft innerhalb des Konzerns ohne ausreichende Rechtsgrundlage teilt. Der EuGH äußerte sich außerdem zu den Vorlagefragen des BAG, welche insbesondere die Auslegung […]

Dominik Klöcker | 14. Mai 2025 | Beschäftigtendatenschutz | Arbeitgeber, Arbeitnehmer, Art. 82 DSGVO, BAG, Betriebsvereinbarung, Datenverarbeitung, EuGH, immaterieller Schaden, Personal-Informationsmanagementsystem, personenbezogene Daten, Rechtsgrundlage, Schadensersatz, Software, Testdaten, Workday | 2 Kommentare

Person arbeitet mit KI-System an Laptop.

Abmahnung gegen Meta wegen KI-Training mit Nutzerdaten

Im April kündigte Meta an, ab dem 27. Mai 2025 die Daten europäischer Facebook- und Instagram-Nutzer für das Training seiner KI „Meta AI“ zu verwenden. Dies war eigentlich schon für 2024 geplant. Der hinter Facebook und Instagram stehende Konzern erfuhr damals für seine Pläne viel Gegenwind aus der Öffentlichkeit. Daraufhin verschob Meta seine Pläne (wir […]

Ann- Kathrin Kowsky | 13. Mai 2025 | Allgemein | Datenschutz, Datenverarbeitung, DSGVO, EDSA, Facebook, Instagram, KI-Training, Meta, Meta AI, personenbezogene Daten, Rechtsgrundlage, Verbraucherschutz

HmbBfDI zu Meldepflichten bei Festplattendiebstahl in Arztpraxen

In dem vor kurzem vorgestellten Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wird ein interessanter und für viele Unternehmen vermutlich sehr relevanter Fall zum Umgang mit Datenschutzverletzungen besprochen. Wie die Aufsichtsbehörde mitteilt, wurden in zwei Arztpraxen, die zum selben Träger gehören, jeweils Festplatten mit Daten von Patient:innen gestohlen. Dabei soll der Täter die […]

Conrad S. Conrad | 13. Mai 2025 | Allgemein, Aufsichtsbehörden | Datendiebstahl, Datenschutz, DSGVO, Festplatte, Gesundheitsdaten, HmbBfDI, Informations- und Meldepflicht

Personaldaten werden am Laptop aufgerufen. Person managing employee information on their laptop.

Einführung einer Skill-Matrix im Unternehmen

Eine Skill-Matrix bietet einen Überblick über die individuellen Fähigkeiten der Mitarbeiter, jenseits der üblichen arbeitsplatzspezifischen Anforderungen. Der Aufbau einer zentralen Skill-Matrix bringt Unternehmen zahlreiche Vorteile: Der gezielte Zugriff auf vorhandenes Mitarbeiterwissen wird zu einem wertvollen Instrument, um Synergieeffekte zu nutzen und Ressourcen effizienter einzusetzen so z.B. auch eine Studie des Fraunhofer Institutes. Dieser Beitrag beleuchtet […]

Christian Hanusch | 12. Mai 2025 | Allgemein, Beschäftigtendatenschutz | Arbeitgeber, Arbeitnehmer, Beschäftigtendaten, Datenschutz, Datenverarbeitung, DSGVO, Skill-Matrix

Frau_mit_Handy_in_der_Hand_AdobeStock_172033221

TikTok receives fine of 530 million euros by Irish DPC

In September 2021 an investigation was started by the Irish Data Protection Commission (DPC), as Lead Supervisory Authority, to verify TikTok’s compliance with GDPR obligations in terms of: verification of age requirements for users under 13 or 18 years of age and lawfulness of the personal data transfers to the People’s Republic of China (China). […]

Francesca Romana Di Costanzo | 9. Mai 2025 | Allgemein, Internationaler Datenschutz | China, Cross-border data transfer, data protection, English Posts, GDPR, SCCs, TIA, TikTok, Transfer Impact Assessment), user data

Drei Pfeile stecken in der Mitte einer Zielscheibe.

Neue Angriffstrends im Bereich Informationssicherheit?

Für eine wirksame Strategie zur Verteidigung von IT-Infrastrukturen ist es erforderlich zu wissen, welche Techniken und Methoden bei Angriffen auf IT-Infrastukturen im Trend liegen und am häufigsten für digitale Einbrüche und Datendiebstähle verwendet werden. Dieser Artikel beschäftigt sich in diesem Zusammenhang mit Sicherheitsvorfällen aus dem Jahr 2024 und nutzt dabei den M-Trends 2025 Report als […]

Christopher Reusche | 9. Mai 2025 | Informationssicherheit | Angriffsmethoden, Exploits, Informationssicherheit, IT-Infrastruktur, Phishing, Sensibsilierung von Mitarbeitenden, Sicherheitslücken, Software, Websites, Zugangsdaten

ADV-Vertrag_Av-Vertrag_Auftragsdatenverarbeitung_AdobeStock_217187164

DSGVO – information privacy standard – Kapitel P.4 – Auftragsverarbeitung

Während wir uns bei unserem letzten Beitrag zur Beitragsreihe über den Kriterienkatalog des DSGVO – information privacy standard mit den Informationspflichten des Kunden beschäftigt haben, widmen wir uns heute dem wichtigem Aspekt der Auftragsverarbeitung. Kapitel P.4 Auftragsverarbeitung Viele Unternehmen bedienen sich bei der Bereitstellung ihrer Dienste externer Dienstleister – etwa im Rahmen von Hosting- oder […]

Sarah Akanbam Herwig | 8. Mai 2025 | Allgemein | Auftragsdatenverarbeitung, Auftragsverarbeiter, Auftragsverarbeitung, AV-Vertrag, Blogreihe DSGVO – information privacy standard, DSGVO – information privacy standard, DSGVO-Zertifikat, Informationspflichten, Verantwortlicher

Ein Schild mit der Aufschrift "Große Kehrwoche" hängt neben einer Wohungstür.

Was hat die Kehrwoche mit Datenschutz zu tun?

Jeder, der einmal in Schwaben gewohnt hat, kennt das Phänomen: die Kehrwoche. Es handelt sich hierbei laut Wikipedia um „…die geregelte Reinigung gemeinschaftlich benutzter Bereiche in Einfamilien- und Mehrparteienwohnhäusern und von Flächen wie Hauszugängen, Vorplätzen und Gehwegen und Straßen im Gebiet des ehemaligen Württemberg.“ Auch heute findet man in Mietshäusern teilweise noch das typische Schild mit […]

Sophie-Marie Heim | 7. Mai 2025 | Allgemein, Aufsichtsbehörden | Datenhygiene, Datenschutz, Datenverarbeitung, Digitale Kehrwoche, LfDI Baden-Württemberg | 2 Kommentare

Holzspielfiguren auf einem Tisch und zwischen zwei Figuren ist ein Holzwürfel mit dem Paragraph-Symbol.

Probleme bei Auskunftsersuchen von (ehemaligen) Mitarbeitern

Wenn ein Arbeitsverhältnis endet, geht das in der Regel ohne größere Probleme vonstatten. In manchen Fällen kann es jedoch – bspw. aufgrund einer arbeitgeberseitigen Kündigung – zu Streitigkeiten und letztlich zu einem arbeitsgerichtlichen Prozess kommen. Spitzfindige und datenschutzkundige Rechtsanwälte oder Arbeitnehmer machen in solchen Fällen neben den arbeitsrechtlichen Ansprüchen auch datenschutzrechtliche Ansprüche geltend. Der Klassiker […]

Larissa Kaiser | 6. Mai 2025 | Datenschutz-Grundverordnung | Anwalt, Arbeitgeber, Arbeitnehmer, Art. 15 DSGVO, Auskunftsersuchen, berechtigtes Interesse, Betroffenenrechte, Datenschutzrecht, Dokumente, Fristen, Geschäftsgeheimnisse, Kopie, Kündigung, Vollmacht | 2 Kommentare

EuGH_Gebaeude_Aussenansicht_AdobeStock_250008655

Telefonische Auskünfte und Datenschutz – geht das?

Wie erhält man von Behörden und Gerichten Informationen über andere Personen? Reicht dafür ein Anruf aus? Und welche Rolle spielt die DSGVO dabei? Mit diesen Fragen befasste sich der Europäische Gerichtshof (EuGH), nachdem ein finnisches Unternehmen mündlich Auskunft über mögliche Vorstrafen einer natürlichen Person erhalten wollte (EuGH-Urteil vom 07.03.2024 – C-740/22). Fällt das gesprochene Wort […]

Olaf Rossow | 5. Mai 2025 | Datenschutz-Grundverordnung | Auskunft, Behörden, Dateisystem, Datenverarbeitung, DSGVO, EuGH, Gerichte, Interessenabwägung, mündliche Auskunft | 4 Kommentare

Mitarbeiterin sitzt im Büro an einem Schreibtisch und schaut sich Unterlagen an.

Belgian DPA Clarifies Company Liability for GDPR Breaches by Rogue Employees

Are companies always responsible if their employees cause a data breach under the General Data Protection Regulation (GDPR)? According to a recent decision by the Belgian Data Protection Authority (DPA), the answer appears to be yes, or at least in most cases. The Case In this case, a manager at a hospital accessed an employee’s […]

Cihan Parlar | 2. Mai 2025 | Allgemein, Internationaler Datenschutz | Belgian DPA, Data Breach, data protection, employee data, employer, English Posts, liability

Mann sitzt in einem Büro an seinem Laptop, hält ein Dokument in der Hand und schaut auf den Bildschirm.

DSGVO – information privacy standard – Kapitel P.3 – Pflichten des Kunden

Unsere Blogreihe rund um den Kriterienkatalog des DSGVO – information privacy standard geht in die nächste Runde. In unserem letzten Beitrag haben wir uns mit dem Kapitel P.2 – Grundsätze – befasst. Heute werfen wir einen Blick auf das nächste Kapitel: P.3 – Pflichten des Kunden. Das Kapitel P.3 – Pflichten des Kunden Das Kapitel […]

Sarah Akanbam Herwig | 30. April 2025 | Allgemein | Aufsichtsbehörde, Auftragsverarbeiter, betroffene Person, Betroffenenrechte, Blogreihe DSGVO – information privacy standard, DSGVO – information privacy standard, DSGVO-Zertifikat, Informationspflichten, Verantwortlicher, Verarbeitungstätigkeiten

Kleine Deko-Holzhäuser in unterschiedlichen Farben und zum Teil mit Kreuz stehen in einer Reihe.

Neues EKD-Datenschutzgesetz gilt ab 1. Mai

Alles neu macht der Mai. So auch im Datenschutzrecht, zumindest in dem der Evangelischen Kirche in Deutschland. Zum 01.05.2025 tritt das bei der EKD-Synode in Würzburg (10. bis. 13.11.2024) beschlossene Kirchengesetz zur 3. Änderung des EKD-Datenschutzgesetzes (DSG-EKD) in Kraft. In unserem Blogbeitrag vom 28.11.2024 berichteten wir bereits umfassend über die bevorstehenden Änderungen. Die wesentlichen Neuerungen […]

Dr. Sebastian Ertel | 30. April 2025 | Kirchlicher Datenschutz | Datenschutzrecht, Dokumentation, DSG-EKD, DSGVO, Einwilligung, EKD, Evangelische Kirche, Kirchengesetz, personenbezogene Daten

1 2 3 4 ›»