Um etwaige Vorfreude direkt zu dämpfen: Nein, der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) spricht sich nicht für ein Doppeltürchen für jeden Tag des Adventskalenders aus. Im aktuellen Tätigkeitsbericht des BayLfD befasst sich dieser mit der Übermittlung von Sozialdaten eines Jobcenters an eine kommunale Ausländerbehörde (siehe Punkt 4.2). Die Ausgangslage Eine bayerische Kommune fragte gegenüber […]
DIN 66399 – Ist die Norm zur Datenträgervernichtung noch aktuell?
Die im Oktober 2012 veröffentlichte DIN 66399 „Büro- und Datentechnik – Vernichten von Datenträgern“ ist eine deutsche Norm, welche die Anforderungen für die sichere Vernichtung von Datenträgern wie Papier, CDs oder Festplatten definiert. Für viele Unternehmen und Dienstleister ist sie der zentrale Anknüpfungspunkt, wenn es um die Festlegung von Sicherheitsstufen und Vorgaben zur Datenvernichtung geht. […]
Datenschutz im Arbeitsalltag
In unserer kleinen Reihe zum Datenschutz im Alltag (hier lesen Sie Teil 1) greifen wir wie angekündigt, mehrere Bereiche auf, in denen uns Datenschutz begegnet und schützt. Heute gehen wir auf Datenschutz im Arbeitsalltag ein. Teil 2 Datenschutz begegnet uns im Arbeitsalltag an praktisch jeder Stelle, an der persönliche Daten verarbeitet werden – von […]
Kommunalpolitik im Livestream: Chancen und Datenschutz-Risiken
Die Gestaltung des eigenen und unmittelbaren Lebensumfeldes durch die Bürgerinnen und Bürger stellt den Kern einer demokratischen Teilhabe in der Kommunalpolitik dar. Eine wichtige Voraussetzung, um diese Teilhabe zu ermöglichen, sind dabei Transparenz und eine leicht zugängliche Informationsbeschaffung. In Zeiten der Digitalisierung sollen demnach auch Bürgerversammlungen, Gemeinderatssitzungen und sonstige Gremiensitzungen live ins Internet übertragen werden […]
Beyond the Theory: CNIL Sanctions Under the Light of the Digital Omnibus
As the French data protection authority (Commission nationale de l’informatique et des libertés, CNIL) recently imposed two high-amount sanctions, we take this opportunity to try and make a practical application of some rules from the recently published draft of the Digital Omnibus. What Happened? In the span of a week, the CNIL imposed major sanctions […]
Geplante Änderungen: Wann muss ein Datenschutzbeauftragter benannt werden?
Die derzeitige Bundesregierung strebt bekanntermaßen eine Entbürokratisierung an. Im Rahmen der Ministerpräsidentenkonferenz am 4. Dezember dieses Jahres stellte der Bundeskanzler zusammen mit den Regierungschefinnen und Regierungschefs der Bundesländer daher ein ambitioniertes Vorhaben zur Staatsmodernisierung vor, das auch Pläne mit folgenreichen Änderungen im deutschen Datenschutzrecht beinhaltet. In dem rund 55-seitigen Dokument werden unter anderem im Kapitel […]
Das NIS-2-Umsetzungsgesetz ist in Kraft getreten – welche Schritte sind nun erforderlich?
Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungsgesetz) ist am 05.12.2025 im Bundesgesetzblatt veröffentlicht worden und somit seit dem 06.12.2025 in Kraft. Durch das NIS-2-Umsetzungsgesetz wurde das bisherige BSI-Gesetz (BSIG) neu gefasst. Die Pflichten gelten nicht nur für Unternehmen, sondern für alle Einrichtungen, die unter den […]
Haben Schüler*innen bei ihren Prüfungsarbeiten auch ein Recht auf Auskunft im Sinne des Art. 15 DSGVO?
Sind eigentlich auch Prüfungsarbeiten von Schüler*innen von dem Auskunftsanspruch nach Art. 15 DSGVO umfasst und können Kopien im Sinne des Art. 15 Abs. 3 DSGVO herausverlangt werden? Die Antwort ist relativ klar. Natürlich fallen auch Schüler*innen unter den Schutzbereich der DSGVO, weshalb ihnen durchaus auch ein Anspruch nach Art. 15 DSGVO bzgl. Prüfungsarbeiten zustehen kann. […]
Du bist verantwortlich, nicht ich!
Im Datenschutzbereich wird immer wieder die Frage aufgeworfen, wer denn für die Datenverarbeitung rechtlich verantwortlich ist. Eine Frage, die auf den ersten Blick leicht zu beantworten erscheint: Wer die Daten verarbeitet, ist auch verantwortlich. Doch die Beratungspraxis zeigt ein deutlich komplexeres Bild, insbesondere in Konzernstrukturen mit mehreren Gesellschaften. Immer wieder hören wir Aussagen wie: „Die […]
Verarbeitungsverzeichnis – Quo vadis?
„Müssen wir bald kein Verarbeitungsverzeichnis mehr führen?“ Diese Frage hatten wir hier im Blog im Juli 2025 gestellt. Damals hatte es erste Berichte über Pläne der EU-Kommission gegeben, Änderungen in der DSGVO bzgl. der Pflicht zur Führung eines Verarbeitungsverzeichnisses vorzunehmen. Auch ein geleakter Gesetzesentwurf war damals schon einsehbar. Aktuell gibt es erneut Berichte über Pläne […]
100.000 Euro Bußgeld für Verzögerung bei Auskunftsanfrage
Im Juli 2025 verhängte die italienische Aufsichtsbehörde für Datenschutz (Garante per la protezione dei dati personali, GPDP) ein Bußgeld in Höhe von 100.000 Euro gegen die Banco Bilbao Vizcaya Argentaria SA (BBVA). Was war passiert? Ein Kunde der Bank, der dort ein Girokonto hatte, wurde Opfer eines Betrugs und verlangte Zugang zu Telefonaufzeichnungen seiner Gespräche […]
Datenschutzverletzungen bei bayerischen Finanzämtern
Ende Oktober 2025 wurde der 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) veröffentlicht. Er umfasst den Berichtszeitraum vom 1. Januar bis 31. Dezember 2024. Wie jedes Jahr beleuchtet der Bericht eine Vielzahl aktueller datenschutzrechtlicher Themen von hoher Relevanz, darunter auch Fälle von Datenschutzverletzungen. Während wir in unserem Blog regelmäßig über Datenpannen berichten, widmet […]
„Ausblenden reicht nicht“ – Urteil verlangt Irreversibilität der Datenbeseitigung für datenschutzkonforme Löschung
Ein richtungsweisendes Urteil des Sozialgerichts Dresden (S 15 SF 304/24 DS) beleuchtet sehr klar die Grenzen datenschutzrechtlicher Löschforderungen: Das bloße Ausblenden personenbezogener Daten in einer Softwareanwendung ist nach Ansicht des Gerichts kein echtes Löschen im Sinne der DSGVO. Hintergrund des Falls Gegenstand des Rechtsstreits war die Stammdatensoftware der Bundesagentur für Arbeit (BA). Dort können personenbezogene […]
Hackerangriffe auf öffentliche Stellen
Nicht nur in der Berichterstattung der Medien fällt derzeit die massive Zunahme von Cyber- und Hackerangriffen auf öffentliche Stellen auf (siehe bspw. die Website „Kommunaler Notbetrieb“). Auch im 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) wurde diese Entwicklung für die bayerischen Behörden festgestellt. Während unsere im Juni 2025 erschienene Blogreihe zu Handlungsempfehlungen bei […]
Datenschutz: Hessen macht den Weg frei für Microsoft 365
Wer die datenschutzrechtliche Entwicklung von Microsoft 365 in den letzten Jahren verfolgt hat (wir berichteten), erinnert sich vermutlich noch gut an das Statement der Datenschutzkonferenz (DSK) aus dem November 2022 (wir berichteten). Nur zur Erinnerung: Die DSK ist ein Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden und verfolgt das Ziel einer deutschlandweit einheitlichen Anwendung des Datenschutzes. Im Jahr […]