datenschutz notizen | News-Blog der DSN GROUP

Europa-Flaggen vor dem Gebäude der EU-Kommission in Brüssel.

Digital Omnibus Part 2: What Organisations Need to Know About the Joint Opinion of EDBP and EDPS

The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) have published their Joint Opinion (the Joint Opinion) on the European Commission’s Digital Omnibus Proposal (the Proposal). Following our earlier analysis (Part 1) of the Proposal itself, this article examines how key elements of the reform are viewed by these supervisory bodies. […]

Niki Lal Gormezano | 13. Februar 2026 | Aufsichtsbehörden, Internationaler Datenschutz | data protection, Digital Omnibus, EDPB, EDPS, EDPS v SRB, English Posts, GDPR

Das Wort wichtig! geschrieben mit Buchstabenwürfeln auf gelbem Hintergrund.

Auskunftspflichten gegenüber der Aufsichtsbehörde

Juristische Personen können die Auskunft nicht verweigern – jedenfalls nicht mit dem Verweis auf ein Auskunftsverweigerungsrecht. So hat es das Verwaltungsgericht (VG) Berlin in seiner kürzlich veröffentlichten Entscheidung (Urteil vom 09.10.2025, Az.: VG 1 K 607/22) mitgeteilt. Das Berliner Verwaltungsgericht stärkt somit die Befugnisse der Aufsichtsbehörden. Das Urteil ist jedoch noch nicht rechtskräftig. Was dürfen […]

Maximilian Eckardt | 12. Februar 2026 | Aufsichtsbehörden | Abhilfemaßnahmen, Auskunftsersuchen, Auskunftspflichten, Auskunftsverweisungsrecht, BDSG, BlnBDI, Datenschutzhinweise, Datenschutzverletzung, DSGVO, juristische Person, Lettershop-Verfahren, Selbstbelastungsfreiheit, Unternehmen, VG Berlin

Ausschnitt von einem Desktop, auf dem Reihen aus Einsen und Nullen zu sehen sind und dazwischen in roter Schrift das Wort Ransomware.

Ransomware-Attacken: Die aktuelle Bedrohungslage und der Einfluss der Künstlichen Intelligenz

Die Anzahl der Ransomware-Angriffe hat im vergangenen Jahr einen neuen Höchststand erreicht. Die Bedrohungslage dürfte sich auch im Jahr 2026 weiter zuspitzen und aufgrund des zunehmenden Einsatzes Künstlicher Intelligenz (KI) zugleich an Komplexität gewinnen. Die besonders perfide Form eines Cyberangriffs, bei dem Daten verschlüsselt und Lösegeld erpresst wird, betrifft immer wieder Unternehmen, Behörden, Kanzleien und […]

Susanne Maria Voß | 11. Februar 2026 | Allgemein | Behörden, BSI, CEO Fraud, Cybersicherheit, Cybersicherheitsmaßnahmen, Deepfake, Informationssicherheit, KI, kritische Infrastruktur, Künstliche Intelligenz, Phishing, Ransomware, Risiko, Schulung, Social Engineering, Unternehmen | 1 Kommentar

Ein Schild mit der Aufschrift Grundstück zu verkaufen steht auf einer Wiese.

Was der BGH alles unter „Vertrag“ versteht

Die Sportvereine in Deutschland sind so beliebt wie nie zuvor. Was oft wie eine Idylle wirkt, auch hier kann es zu Streitigkeiten kommen, die korrekt vor Gericht ausgetragen werden wollen. Und im folgenden Fall hatte letztlich sogar der Bundesgerichtshof (BGH) zu entscheiden. Widerstand gegen Grundstücksverkauf Im Jahr 2018 veräußerte ein eingetragener Sportverein mehrere Grundstücksflächen an […]

Olaf Rossow | 10. Februar 2026 | Allgemein | berechtigtes Interesse, BGB, BGH, DSGVO, E-Mail-Adressen, Grundstücksverkauf, LfDI Baden-Württemberg, Mitglieder, Mitgliederversammlung, OLG München, Rechtsgrundlage, Rechtsverhältnis, Verein, Vereinssatzung, Vertrag, Willenserklärung

Frau nutzt Smartphone zum Online Shopping.

No Account, No Purchase? EDPB Pushes Back on Mandatory Registration

Requiring users to create an account in order to complete an online purchase is a widespread practice in e-commerce. Businesses commonly justify this requirement by reference to operational efficiency, customer convenience, or the development of long-term commercial strategies. With its Recommendations 2/2025, the European Data Protection Board (EDPB) addresses this practice directly and clarifies the […]

Giulia Provini | 9. Februar 2026 | Datenschutz-Grundverordnung, Kundendatenschutz | data protection, EDPB, English Posts, Mandatory Accounts, Online Shops, Recommendations 2/2025

Mensch ärgere dich nicht Spielbrett mit Spielfiguren und Würfel.

Dienstleister ärgere dich nicht – Dienstleister-Audits

Heute werfen wir einen Blick auf Dienstleister-Audits und worauf in diesem Zusammenhang zu achten ist. Spielregeln Laut Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) arbeitet ein Verantwortlicher nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Um dieser Pflicht nachkommen zu können, empfehlen wir in der Beratungspraxis – neben […]

Sarah Oppmann | 6. Februar 2026 | Allgemein | Audit, Auftragsverarbeiter, Datenschutzaudit, Dienstleister, Dienstleister-Audit, DSGVO, Verantwortlicher

Holzwürfel mit einem aufgedruckten Person-Icon sind durch Linien kreuz und quer miteinander verbunden.

Unzulässige E-Mail-Werbung – trotz (indirektem) LinkedIn-Kontakt?

Die Zusendung von Werbung per E-Mail ist grundsätzlich nur mit vorheriger, ausdrücklicher Einwilligung zulässig. Diese Rechtslage hierzulande dürfte mittlerweile allseits bekannt sein. Unternehmen sollten dementsprechend ihr Marketing bzw. ihren Vertrieb auf ein dokumentiertes Einwilligungsmanagement abstellen und transparent über die Datenverarbeitung informieren. Nur in besonderen Ausnahmefällen kann hiervon abgewichen werden, wie z. B. bei dem umstrittenen […]

Conrad S. Conrad | 5. Februar 2026 | Allgemein | AG Düsseldorf, Bestandskundenprivileg, Dienstleister, E-Mail Werbung, E-Mail-Marketing, Einwilligung, Funktionspostfach, Kontakt, LinkedIn, unerlaubte Werbung, Unternehmen, UWG

Person in Businesskleidung geht Checkliste auf Klemmbrett durch.

Reading Between the Lines of the Italian DPA’s 2026 Inspection Plan

With its Resolution of 30 December 2025, the Italian Data Protection Authority (Garante per la protezione dei dati personali) published its inspection plan for the period January to July 2026. The plan sets out the Authority’s inspection focus for the first semester of the year and provides for at least 40 targeted inspections across the […]

Giulia Provini | 5. Februar 2026 | Aufsichtsbehörden, Internationaler Datenschutz | data protection, EDPB, English Posts, Garante, GDPR, Inspection Plan, Italian DPA, Italy

DSGVO information privacy standard - ein rundes Siegel mit dem Schriftzug

Der Art. 42 DSGVO – information privacy standard – Einordnung für die Datenschutzberatung

Seit März 2025 führt der Europäische Datenschutzausschuss (EDSA) in seinem offiziellen Verzeichnis der Zertifizierungsmechanismen („Register of certification mechanisms, seals and marks“) einen weiteren Standard nach Art. 42 DSGVO: den „DSGVO – information privacy standard“. Der zugehörige Kriterienkatalog ermöglicht eine Zertifizierung nach Art. 42 DSGVO sowohl für Verantwortliche als auch für Auftragsverarbeiter. Anwendungsbereich und Ausrichtung des […]

David Stierle | 4. Februar 2026 | Allgemein | Art. 42 DSGVO, DSGVO – information privacy standard, EDSA, Europäischer Datenschutzausschuss

Pflegerin schiebt eine grauhaarig Patientin im Rollstuhl.

Mitarbeiterexzess: Unzulässige Videoaufnahme einer Patientin durch Pflegepersonal

Mitarbeiterexzesse sind in der Praxis nicht unüblich, jedoch gestaltet sich die rechtliche Einordnung oft als schwierig. Dies liegt daran, dass sich die Handlungen nicht selten im Graubereich zwischen privatem Fehlverhalten und dienstlichem Kontext bewegen und detaillierte Abgrenzungen in der datenschutzrechtlichen Bewertung notwendig machen. In der Vergangenheit berichteten wir bereits über Fälle, bei denen Mitarbeitende betrieblich […]

Sophia Louzri | 3. Februar 2026 | Aufsichtsbehörden, Gesundheitsdatenschutz | Datenverarbeitung, Dienstanweisung, Foto, Geldbuße, Haushaltsausnahme, Mitarbeiterexzess, Patientin, Pflegeeinrichtung, TLfDI, Video, WhatsApp

Ein Zauberer im schwarzen Anzug hält einen Zauberstab und einen Zauberhut.

Das Zauberwort heißt „berechtigtes Interesse“

Wenn nichts mehr hilft, dann hilft vielleicht das „berechtigte Interesse“. So klingt es manchmal in der Datenschutzberatung, wenn man nach Rechtsgrundlagen für eine Datenverarbeitung sucht. Denn, dies sei vorausgeschickt, egal, was Unternehmen und Behörden mit personenbezogenen Daten anstellen wollen, sie benötigen immer eine Rechtsgrundlage. Da kann es kreativ zugehen, wie einige Fälle zeigen. Notnagel „berechtigtes […]

Olaf Rossow | 2. Februar 2026 | Aufsichtsbehörden | berechtigtes Interesse, Datenschutzbeauftragter, Datenverarbeitung, EDSA, Einwilligung, EuGH, Fragenkatalog, HmbBfDI, Interessenabwägung, Praxishilfe, Prüfung, Rechtsgrundlage | 1 Kommentar

Frau arbeitet an einem Laptop; auf dem Desktop ist eine Newsletteranmeldung zu sehen.

EuGH stärkt „Soft-Opt-in“ – Einwilligungserfordernis bleibt grundsätzlich bestehen

Am 13. November 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C‑654/23 – „Inteligo Media“ für mehr Klarheit in der umstrittenen Frage gesorgt, unter welchen Voraussetzungen Unternehmen informative Newsletter mit werblichen Elementen ohne ausdrückliche Einwilligung versenden dürfen. Die Entscheidung betrifft nicht nur die Auslegung des Begriffs „Direktwerbung“ nach der ePrivacy-Richtlinie, sondern auch das Verhältnis […]

Daniela Dannapel-Groneberg | 30. Januar 2026 | Allgemein, Aufsichtsbehörden | ANSPDCP, Bestandskundenprivileg, Direktwerbung, DSGVO, E-Mail, E-Mail-Marketing, ePrivacy-Richtlinie, EuGH, Freemium, Inteligo Media, Newsletter, Rechtssache C-654/23, Rumänien, UWG, Vorabentscheidungsersuchen, Vorlagefragen

Muffins die aussehen wie das Krümelmonster.

Haftung für Drittanbieter-Cookies: Nicht nur der Website-Betreiber in der Verantwortung

Cookies – eine unendliche Geschichte. Spätestens seit DSGVO und TDDDG gilt: Ohne ausdrückliche Einwilligung geht bei nicht-essenziellen Cookies nichts. Diesmal im Fokus: die Frage, ob auch Drittanbieter haften, selbst wenn sie nicht Betreiber der Websitesind. Mit dieser Frage beschäftigte sich jüngst das Oberlandesgericht Frankfurt am Main (OLG Frankfurt) und hat mit seinem Urteil vom 11. […]

Nathalie Schmid | 29. Januar 2026 | Allgemein | § 25 TDDDG, Az. 6 U 81/23, Cookies, Drittanbieter-Cookies, OLG Frankfurt, Schadensersatzanpruch, Website-Betreiber | 1 Kommentar

Das Wort Resilienz in weißer Schrift auf blauem Papier gedruckt.

KRITIS-Dachgesetz: Überblick, parlamentarischer Stand und fachliche Kritik

Mit dem KRITIS-Dachgesetz setzt Deutschland die europäische CER-Richtlinie (EU 2022/2557) um (wir berichteten). Ziel ist es, die kritischen Einrichtungen gegenüber physischen, organisatorischen und hybriden Bedrohungen resilienter zu machen. Während die NIS-2-Umsetzung primär die Cybersicherheit adressiert, soll das KRITIS-Dachgesetz einen sektorübergreifenden Rahmen für physische und organisatorische Resilienz schaffen. Nach mehreren Entwurfsfassungen befindet sich das Gesetz nun […]

Manfred Bauer | 28. Januar 2026 | Informationssicherheit | AG KRITIS, Betreiber kritischer Anlagen, Bundestag, CER-Richtlinie, Cybersicherheit, Entwurf, Gesetzgebung, Informationssicherheit, KRITIS-Dachgesetz, Resilienz, Schwellenwerte

Datenschutz in der Schulsozialarbeit: Schweigepflicht gilt auch für Namen von Schüler*innen

Die Zusammenarbeit zwischen Lehrkräften, Schulleitung und Schulsozialarbeit ist ein zentraler Bestandteil schulischer Unterstützung. Gleichzeitig unterliegt diese Kooperation strengen datenschutzrechtlichen Vorgaben, insbesondere wenn Schülerinnen und Schüler personenbezogene oder besonders sensible Informationen offenbaren. Der zugrunde liegende Fall aus dem siebten Tätigkeitsbericht des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) verdeutlicht die rechtlichen Rahmenbedingungen und zeigt […]

Clemens Grünwald | 28. Januar 2026 | Allgemein | Datenschutz, personenbezogene Daten, Schule, Schulsozialarbeit, Schweigepflicht, TLfDI, Vertraulichkeit

1 2 3 4 ›»