Willkommen zu einem weiteren Teil unserer Blogreihe zur DSGVO-Zertifizierung nach dem „DSGVO – information privacy standard“. In diesem Beitrag widmen wir uns dem Kapitel P.5 – Technisch-organisatorische Maßnahmen – einem Kernbestandteil des Datenschutzes in der praktischen Umsetzung. Technische und organisatorische Maßnahmen (kurz: TOM) sind mehr als nur Sicherheitsvorkehrungen – sie sind der zentrale Hebel, um […]

Schweiz: Leitfaden des EDÖB zur Meldung von Datensicherheitsverletzungen
Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das schweizerische Datenschutzgesetz (DSG) regeln den Umgang mit Verletzungen des Schutzes personenbezogener Daten (ugs. Datenpanne) bzw. Datensicherheitsverletzungen, wie es in der Schweiz genannt wird. Beide Regelwerke definieren, was unter einer Datenpanne zu verstehen ist und unter welchen grundsätzlichen Voraussetzungen ein entsprechender Vorfall zu melden ist. Der Gesetzeswortlaut ist jeweils […]

DSGVO-Verstoß: BAG erkennt Schadensersatzanspruch des Beschäftigten an
Das Bundesarbeitsgericht (BAG) hat jüngst in einem Urteil (BAG-Urteil von 08.05.2025, Az. 8 AZR 209/21) entschieden, dass ein Arbeitgeber dem betroffenen Mitarbeitenden gegenüber schadensersatzpflichtig sein kann, wenn er sensible Daten mit einer anderen Gesellschaft innerhalb des Konzerns ohne ausreichende Rechtsgrundlage teilt. Der EuGH äußerte sich außerdem zu den Vorlagefragen des BAG, welche insbesondere die Auslegung […]

Abmahnung gegen Meta wegen KI-Training mit Nutzerdaten
Im April kündigte Meta an, ab dem 27. Mai 2025 die Daten europäischer Facebook- und Instagram-Nutzer für das Training seiner KI „Meta AI“ zu verwenden. Dies war eigentlich schon für 2024 geplant. Der hinter Facebook und Instagram stehende Konzern erfuhr damals für seine Pläne viel Gegenwind aus der Öffentlichkeit. Daraufhin verschob Meta seine Pläne (wir […]

HmbBfDI zu Meldepflichten bei Festplattendiebstahl in Arztpraxen
In dem vor kurzem vorgestellten Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wird ein interessanter und für viele Unternehmen vermutlich sehr relevanter Fall zum Umgang mit Datenschutzverletzungen besprochen. Wie die Aufsichtsbehörde mitteilt, wurden in zwei Arztpraxen, die zum selben Träger gehören, jeweils Festplatten mit Daten von Patient:innen gestohlen. Dabei soll der Täter die […]

Einführung einer Skill-Matrix im Unternehmen
Eine Skill-Matrix bietet einen Überblick über die individuellen Fähigkeiten der Mitarbeiter, jenseits der üblichen arbeitsplatzspezifischen Anforderungen. Der Aufbau einer zentralen Skill-Matrix bringt Unternehmen zahlreiche Vorteile: Der gezielte Zugriff auf vorhandenes Mitarbeiterwissen wird zu einem wertvollen Instrument, um Synergieeffekte zu nutzen und Ressourcen effizienter einzusetzen so z.B. auch eine Studie des Fraunhofer Institutes. Dieser Beitrag beleuchtet […]
TikTok receives fine of 530 million euros by Irish DPC
In September 2021 an investigation was started by the Irish Data Protection Commission (DPC), as Lead Supervisory Authority, to verify TikTok’s compliance with GDPR obligations in terms of: verification of age requirements for users under 13 or 18 years of age and lawfulness of the personal data transfers to the People’s Republic of China (China). […]
Neue Angriffstrends im Bereich Informationssicherheit?
Für eine wirksame Strategie zur Verteidigung von IT-Infrastrukturen ist es erforderlich zu wissen, welche Techniken und Methoden bei Angriffen auf IT-Infrastukturen im Trend liegen und am häufigsten für digitale Einbrüche und Datendiebstähle verwendet werden. Dieser Artikel beschäftigt sich in diesem Zusammenhang mit Sicherheitsvorfällen aus dem Jahr 2024 und nutzt dabei den M-Trends 2025 Report als […]
DSGVO – information privacy standard – Kapitel P.4 – Auftragsverarbeitung
Während wir uns bei unserem letzten Beitrag zur Beitragsreihe über den Kriterienkatalog des DSGVO – information privacy standard mit den Informationspflichten des Kunden beschäftigt haben, widmen wir uns heute dem wichtigem Aspekt der Auftragsverarbeitung. Kapitel P.4 Auftragsverarbeitung Viele Unternehmen bedienen sich bei der Bereitstellung ihrer Dienste externer Dienstleister – etwa im Rahmen von Hosting- oder […]
Was hat die Kehrwoche mit Datenschutz zu tun?
Jeder, der einmal in Schwaben gewohnt hat, kennt das Phänomen: die Kehrwoche. Es handelt sich hierbei laut Wikipedia um „…die geregelte Reinigung gemeinschaftlich benutzter Bereiche in Einfamilien- und Mehrparteienwohnhäusern und von Flächen wie Hauszugängen, Vorplätzen und Gehwegen und Straßen im Gebiet des ehemaligen Württemberg.“ Auch heute findet man in Mietshäusern teilweise noch das typische Schild mit […]
Probleme bei Auskunftsersuchen von (ehemaligen) Mitarbeitern
Wenn ein Arbeitsverhältnis endet, geht das in der Regel ohne größere Probleme vonstatten. In manchen Fällen kann es jedoch – bspw. aufgrund einer arbeitgeberseitigen Kündigung – zu Streitigkeiten und letztlich zu einem arbeitsgerichtlichen Prozess kommen. Spitzfindige und datenschutzkundige Rechtsanwälte oder Arbeitnehmer machen in solchen Fällen neben den arbeitsrechtlichen Ansprüchen auch datenschutzrechtliche Ansprüche geltend. Der Klassiker […]
Telefonische Auskünfte und Datenschutz – geht das?
Wie erhält man von Behörden und Gerichten Informationen über andere Personen? Reicht dafür ein Anruf aus? Und welche Rolle spielt die DSGVO dabei? Mit diesen Fragen befasste sich der Europäische Gerichtshof (EuGH), nachdem ein finnisches Unternehmen mündlich Auskunft über mögliche Vorstrafen einer natürlichen Person erhalten wollte (EuGH-Urteil vom 07.03.2024 – C-740/22). Fällt das gesprochene Wort […]
Belgian DPA Clarifies Company Liability for GDPR Breaches by Rogue Employees
Are companies always responsible if their employees cause a data breach under the General Data Protection Regulation (GDPR)? According to a recent decision by the Belgian Data Protection Authority (DPA), the answer appears to be yes, or at least in most cases. The Case In this case, a manager at a hospital accessed an employee’s […]
DSGVO – information privacy standard – Kapitel P.3 – Pflichten des Kunden
Unsere Blogreihe rund um den Kriterienkatalog des DSGVO – information privacy standard geht in die nächste Runde. In unserem letzten Beitrag haben wir uns mit dem Kapitel P.2 – Grundsätze – befasst. Heute werfen wir einen Blick auf das nächste Kapitel: P.3 – Pflichten des Kunden. Das Kapitel P.3 – Pflichten des Kunden Das Kapitel […]
Neues EKD-Datenschutzgesetz gilt ab 1. Mai
Alles neu macht der Mai. So auch im Datenschutzrecht, zumindest in dem der Evangelischen Kirche in Deutschland. Zum 01.05.2025 tritt das bei der EKD-Synode in Würzburg (10. bis. 13.11.2024) beschlossene Kirchengesetz zur 3. Änderung des EKD-Datenschutzgesetzes (DSG-EKD) in Kraft. In unserem Blogbeitrag vom 28.11.2024 berichteten wir bereits umfassend über die bevorstehenden Änderungen. Die wesentlichen Neuerungen […]