Im Datenschutzbereich wird immer wieder die Frage aufgeworfen, wer denn für die Datenverarbeitung rechtlich verantwortlich ist. Eine Frage, die auf den ersten Blick leicht zu beantworten erscheint: Wer die Daten verarbeitet, ist auch verantwortlich. Doch die Beratungspraxis zeigt ein deutlich komplexeres Bild, insbesondere in Konzernstrukturen mit mehreren Gesellschaften. Immer wieder hören wir Aussagen wie: „Die […]
Verarbeitungsverzeichnis – Quo vadis?
„Müssen wir bald kein Verarbeitungsverzeichnis mehr führen?“ Diese Frage hatten wir hier im Blog im Juli 2025 gestellt. Damals hatte es erste Berichte über Pläne der EU-Kommission gegeben, Änderungen in der DSGVO bzgl. der Pflicht zur Führung eines Verarbeitungsverzeichnisses vorzunehmen. Auch ein geleakter Gesetzesentwurf war damals schon einsehbar. Aktuell gibt es erneut Berichte über Pläne […]
100.000 Euro Bußgeld für Verzögerung bei Auskunftsanfrage
Im Juli 2025 verhängte die italienische Aufsichtsbehörde für Datenschutz (Garante per la protezione dei dati personali, GPDP) ein Bußgeld in Höhe von 100.000 Euro gegen die Banco Bilbao Vizcaya Argentaria SA (BBVA). Was war passiert? Ein Kunde der Bank, der dort ein Girokonto hatte, wurde Opfer eines Betrugs und verlangte Zugang zu Telefonaufzeichnungen seiner Gespräche […]
Datenschutzverletzungen bei bayerischen Finanzämtern
Ende Oktober 2025 wurde der 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) veröffentlicht. Er umfasst den Berichtszeitraum vom 1. Januar bis 31. Dezember 2024. Wie jedes Jahr beleuchtet der Bericht eine Vielzahl aktueller datenschutzrechtlicher Themen von hoher Relevanz, darunter auch Fälle von Datenschutzverletzungen. Während wir in unserem Blog regelmäßig über Datenpannen berichten, widmet […]
„Ausblenden reicht nicht“ – Urteil verlangt Irreversibilität der Datenbeseitigung für datenschutzkonforme Löschung
Ein richtungsweisendes Urteil des Sozialgerichts Dresden (S 15 SF 304/24 DS) beleuchtet sehr klar die Grenzen datenschutzrechtlicher Löschforderungen: Das bloße Ausblenden personenbezogener Daten in einer Softwareanwendung ist nach Ansicht des Gerichts kein echtes Löschen im Sinne der DSGVO. Hintergrund des Falls Gegenstand des Rechtsstreits war die Stammdatensoftware der Bundesagentur für Arbeit (BA). Dort können personenbezogene […]
Hackerangriffe auf öffentliche Stellen
Nicht nur in der Berichterstattung der Medien fällt derzeit die massive Zunahme von Cyber- und Hackerangriffen auf öffentliche Stellen auf (siehe bspw. die Website „Kommunaler Notbetrieb“). Auch im 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) wurde diese Entwicklung für die bayerischen Behörden festgestellt. Während unsere im Juni 2025 erschienene Blogreihe zu Handlungsempfehlungen bei […]
Datenschutz: Hessen macht den Weg frei für Microsoft 365
Wer die datenschutzrechtliche Entwicklung von Microsoft 365 in den letzten Jahren verfolgt hat (wir berichteten), erinnert sich vermutlich noch gut an das Statement der Datenschutzkonferenz (DSK) aus dem November 2022 (wir berichteten). Nur zur Erinnerung: Die DSK ist ein Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden und verfolgt das Ziel einer deutschlandweit einheitlichen Anwendung des Datenschutzes. Im Jahr […]
EU Data Act: Practical Guidance from the Dutch AP’s Newsletter
The Data Act entered into force on 12 September 2025, and in the Netherlands its national Implementation Act (Dataverordening, Dv) followed on 21 November 2025. The Dutch Data Protection Authority (Autoriteit Persoonsgegevens, AP) published a newsletter this week explaining what the Data Act means in practice, particularly for organisations that work with data from connected […]
Auskunftsanspruch im langjährigen Arbeitsverhältnis – Hohe Hürden für DSGVO-Schadensersatzansprüche
Das Thema Auskunftsansprüche – insbesondere von Mitarbeitenden – beschäftigt in letzter Zeit immer häufiger deutsche Gerichte. Insbesondere (ehemalige) Mitarbeitende sehen im Auskunftsrecht eine Chance an Informationen zu gelangen, welche im Zweifelfall vorteilhaft im Rahmen eines (arbeits-)gerichtlichen Prozesses sein können. Welche (weiteren) Probleme sich für den Verantwortlichen bei vermeintlich unvollständigen Auskunftsansprüchen ergeben können, lesen Sie hier. […]
Transparenzdatenbank der EU völlig intransparent?
Wie in unserem Blog kürzlich berichtet, sind gerade Transparenzpflichten ein elementarer Bestandteil des Digital Services Act (DSA) der EU. Neben den zu erbringenden Pflichten der Anbieter digitaler Dienste selbst, ist hierbei ebenfalls die Transparenzdatenbank der EU als Werkzeug zu nennen. Ob die Transparenzdatenbank in der jetzigen Form allerdings einen entscheidenden Beitrag zur Erreichung dieses Zwecks […]
Die Europäische Brieftasche für die digitale Identität in Europa
Beim Gipfel zur europäischen digitalen Souveränität am 18. November 2025 in Berlin wurde deutlich: Die deutsche Wirtschaft und die Politik ziehen an einem Strang, um die Einführung der EU-weiten digitalen Identität und der europäischen digitalen Brieftasche zu beschleunigen. Mehr als 75 Unternehmen aus unterschiedlichen Branchen unterzeichneten, das Memorandum of Unterstanding zur erfolgreichen Einführung der European […]
Datenpannen-Revival: Zu absurd, um wahr zu sein?
Vor fast zehn Jahren berichteten wir über einen skurrilen Fall einer Datenschutzverletzung: die Patientenakte aus der Konfettikanone. Was war passiert? Eine Anwohnerin hatte nach einem Karnevalsumzug und beim Zusammenfegen von Konfetti herumliegende Papierschnipsel mit dem Namen ihrer Schwester darauf entdeckt. Die personenbezogenen Daten stammten von nicht fachgerecht zerkleinerten Patientenakten eines Krankenhauses in Thüringen, welchen eine […]
Sicherheit geht vor – Datenschutzkonformer Einsatz der Baustellenüberwachung
Auf Baustellen kommt es häufig zu Diebstählen von Baumaterial, Maschinen und Werkzeugen. Um ihr Eigentum zu schützen oder Vorfälle im Nachgang aufklären zu können, setzen viele Bauherren auf den Einsatz von Videokameras. Dabei werden einige datenschutzrechtliche Fragestellungen aufgeworfen. Dieser Beitrag beleuchtet den rechtlichen Rahmen für eine datenschutzkonforme Videoüberwachung und nimmt Abgrenzungen zu weiteren Formen des […]
Bußgeld in Millionenhöhe: Rundumschlag der kroatischen Aufsichtsbehörde
Ein kroatisches Telekommunikationsunternehmen verstieß gleich in mehrfacher Hinsicht gegen die Vorgaben der DSGVO und musste dies am Ende teuer bezahlen. Nachdem im Rahmen des aufsichtsbehördlichen Verfahrens unterschiedliche Verstöße festgestellt wurden, wurde das Telekommunikationsunternehmen von der kroatischen Datenschutzbehörde (AZOP) mit einer Geldstrafe in Höhe von insgesamt 4,5 Millionen Euro belegt. Sachverhalt Der in Kroatien ansässige Telekommunikationsanbieter […]
China’s Revised Cybersecurity Law: Key Changes and Compliance Implications
On 28 October 2025, the Standing Committee of the 14th National People’s Congress adopted the Decision on amending the Cybersecurity Law of People’s Republic of China. The revised Cybersecurity Law (the “Revised Law”) will take effect on 1 January 2026. This is the first substantial update to the Cybersecurity Law (“Original Law”) since its promulgation […]