Die Sportvereine in Deutschland sind so beliebt wie nie zuvor. Was oft wie eine Idylle wirkt, auch hier kann es zu Streitigkeiten kommen, die korrekt vor Gericht ausgetragen werden wollen. Und im folgenden Fall hatte letztlich sogar der Bundesgerichtshof (BGH) zu entscheiden. Widerstand gegen Grundstücksverkauf Im Jahr 2018 veräußerte ein eingetragener Sportverein mehrere Grundstücksflächen an […]
No Account, No Purchase? EDPB Pushes Back on Mandatory Registration
Requiring users to create an account in order to complete an online purchase is a widespread practice in e-commerce. Businesses commonly justify this requirement by reference to operational efficiency, customer convenience, or the development of long-term commercial strategies. With its Recommendations 2/2025, the European Data Protection Board (EDPB) addresses this practice directly and clarifies the […]
Dienstleister ärgere dich nicht – Dienstleister-Audits
Heute werfen wir einen Blick auf Dienstleister-Audits und worauf in diesem Zusammenhang zu achten ist. Spielregeln Laut Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) arbeitet ein Verantwortlicher nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Um dieser Pflicht nachkommen zu können, empfehlen wir in der Beratungspraxis – neben […]
Unzulässige E-Mail-Werbung – trotz (indirektem) LinkedIn-Kontakt?
Die Zusendung von Werbung per E-Mail ist grundsätzlich nur mit vorheriger, ausdrücklicher Einwilligung zulässig. Diese Rechtslage hierzulande dürfte mittlerweile allseits bekannt sein. Unternehmen sollten dementsprechend ihr Marketing bzw. ihren Vertrieb auf ein dokumentiertes Einwilligungsmanagement abstellen und transparent über die Datenverarbeitung informieren. Nur in besonderen Ausnahmefällen kann hiervon abgewichen werden, wie z. B. bei dem umstrittenen […]
Reading Between the Lines of the Italian DPA’s 2026 Inspection Plan
With its Resolution of 30 December 2025, the Italian Data Protection Authority (Garante per la protezione dei dati personali) published its inspection plan for the period January to July 2026. The plan sets out the Authority’s inspection focus for the first semester of the year and provides for at least 40 targeted inspections across the […]
Der Art. 42 DSGVO – information privacy standard – Einordnung für die Datenschutzberatung
Seit März 2025 führt der Europäische Datenschutzausschuss (EDSA) in seinem offiziellen Verzeichnis der Zertifizierungsmechanismen („Register of certification mechanisms, seals and marks“) einen weiteren Standard nach Art. 42 DSGVO: den „DSGVO – information privacy standard“. Der zugehörige Kriterienkatalog ermöglicht eine Zertifizierung nach Art. 42 DSGVO sowohl für Verantwortliche als auch für Auftragsverarbeiter. Anwendungsbereich und Ausrichtung des […]
Mitarbeiterexzess: Unzulässige Videoaufnahme einer Patientin durch Pflegepersonal
Mitarbeiterexzesse sind in der Praxis nicht unüblich, jedoch gestaltet sich die rechtliche Einordnung oft als schwierig. Dies liegt daran, dass sich die Handlungen nicht selten im Graubereich zwischen privatem Fehlverhalten und dienstlichem Kontext bewegen und detaillierte Abgrenzungen in der datenschutzrechtlichen Bewertung notwendig machen. In der Vergangenheit berichteten wir bereits über Fälle, bei denen Mitarbeitende betrieblich […]
Das Zauberwort heißt „berechtigtes Interesse“
Wenn nichts mehr hilft, dann hilft vielleicht das „berechtigte Interesse“. So klingt es manchmal in der Datenschutzberatung, wenn man nach Rechtsgrundlagen für eine Datenverarbeitung sucht. Denn, dies sei vorausgeschickt, egal, was Unternehmen und Behörden mit personenbezogenen Daten anstellen wollen, sie benötigen immer eine Rechtsgrundlage. Da kann es kreativ zugehen, wie einige Fälle zeigen. Notnagel „berechtigtes […]
EuGH stärkt „Soft-Opt-in“ – Einwilligungserfordernis bleibt grundsätzlich bestehen
Am 13. November 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C‑654/23 – „Inteligo Media“ für mehr Klarheit in der umstrittenen Frage gesorgt, unter welchen Voraussetzungen Unternehmen informative Newsletter mit werblichen Elementen ohne ausdrückliche Einwilligung versenden dürfen. Die Entscheidung betrifft nicht nur die Auslegung des Begriffs „Direktwerbung“ nach der ePrivacy-Richtlinie, sondern auch das Verhältnis […]
Haftung für Drittanbieter-Cookies: Nicht nur der Website-Betreiber in der Verantwortung
Cookies – eine unendliche Geschichte. Spätestens seit DSGVO und TDDDG gilt: Ohne ausdrückliche Einwilligung geht bei nicht-essenziellen Cookies nichts. Diesmal im Fokus: die Frage, ob auch Drittanbieter haften, selbst wenn sie nicht Betreiber der Websitesind. Mit dieser Frage beschäftigte sich jüngst das Oberlandesgericht Frankfurt am Main (OLG Frankfurt) und hat mit seinem Urteil vom 11. […]
KRITIS-Dachgesetz: Überblick, parlamentarischer Stand und fachliche Kritik
Mit dem KRITIS-Dachgesetz setzt Deutschland die europäische CER-Richtlinie (EU 2022/2557) um (wir berichteten). Ziel ist es, die kritischen Einrichtungen gegenüber physischen, organisatorischen und hybriden Bedrohungen resilienter zu machen. Während die NIS-2-Umsetzung primär die Cybersicherheit adressiert, soll das KRITIS-Dachgesetz einen sektorübergreifenden Rahmen für physische und organisatorische Resilienz schaffen. Nach mehreren Entwurfsfassungen befindet sich das Gesetz nun […]
Datenschutz in der Schulsozialarbeit: Schweigepflicht gilt auch für Namen von Schüler*innen
Die Zusammenarbeit zwischen Lehrkräften, Schulleitung und Schulsozialarbeit ist ein zentraler Bestandteil schulischer Unterstützung. Gleichzeitig unterliegt diese Kooperation strengen datenschutzrechtlichen Vorgaben, insbesondere wenn Schülerinnen und Schüler personenbezogene oder besonders sensible Informationen offenbaren. Der zugrunde liegende Fall aus dem siebten Tätigkeitsbericht des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) verdeutlicht die rechtlichen Rahmenbedingungen und zeigt […]
Europas Cybersecurity-Paket 2026: Cybersicherheit in Bewegung
Am 20. Januar 2026 hat die EU-Kommission ein neues „Cybersecurity Package“ vorgelegt, das in seiner Stoßrichtung über klassische IT-Sicherheitsregulierung hinausgeht. Das Paket besteht im Wesentlichen aus zwei legislativen Strängen: einem Vorschlag zur Revision des EU Cybersecurity Acts (CSA) als Verordnung COM(2026) 11 – „Proposal for a Regulation for the EU Cybersecurity Act“, inklusive Annexes, und […]
Vertrauen ist gut, Kontrolle ist besser!
Dieser Leitsatz gilt ganz besonders beim Einsatz von Auftragsverarbeitern. Auch wenn externe Dienstleister gem. Art. 28 DSGVO zur Einhaltung des Auftragsverarbeitungsvertrags vertraglich verpflichtet sind, bedeutet das nicht, dass sich der Verantwortliche zurücklehnen kann. Letztlich sind es seine Daten, für die er Sorge zu tragen hat und Verantwortung übernehmen muss. Ein Urteil des Bundesgerichtshofs vom 11. […]
Mehr Beschwerden dank oder wegen KI?
Die KI-Systeme werden nicht nur immer beliebter, sondern hinsichtlich der Beantwortung von Anfragen bzw. der Interaktion mit Menschen vermeintlich auch immer besser. Mittlerweile sind auf den meisten Smartphones und mobilen Endgeräten die bekannten KI-Systeme mit entsprechenden Sprachmodellen von Meta AI, Google Gemini oder ChatGPT (OpenAI) integriert bzw. von den Nutzer*innen installiert worden. Ferner setzen die […]