In April 2026, Microsoft introduced a new feature for Microsoft 365 Copilot: „Flex Routing„. The name sounds harmless. The data protection implications are not. What Is Flex Routing? Flex Routing allows Microsoft to reroute Copilot AI requests to data centres in the US, Canada, or Australia when European data centre capacity runs short. What is […]
Microsoft Copilot: Flex Routing – Ihre Daten verlassen die EU. Standardmäßig.
Microsoft hat im April 2026 eine neue Funktion für Microsoft 365 Copilot eingeführt: „Flex Routing“. Der Name klingt harmlos. Die datenschutzrechtlichen Folgen sind es nicht. Was ist Flex Routing? Flex Routing ermöglicht es Microsoft, KI-Anfragen über Copilot bei Kapazitätsengpässen in europäischen Rechenzentren an Rechenzentren in den USA, Kanada oder Australien weiterzuleiten. Betroffen ist das sogenannte […]
Moderne Technik in der Kita – Tracking von Kleinkindern
Immer häufiger kommt es vor, dass Eltern den genauen Standort ihrer Kinder tracken, sowohl von Kleinkindern als auch von Jugendliche. Hierfür gibt es viele verschiedene technische Möglichkeiten zum Beispiel einzelne GPS-Tracker wie Smart-Tags, die in jede Tasche gesteckt werden können, Apps auf den Handys oder Smartwatches. Die Geräte ermöglichen teilweise eine metergenaue Erfassung des Standortes […]
Biometrische Zutrittskontrollen in Unternehmen – Zwischen Hochsicherheit und Datenschutz
Immer mehr Unternehmen setzen im Rahmen der Zwei-Faktor-Authentisierung auf biometrische Zutrittskontrollen, um besonders sensible Bereiche zu sichern. Ihre datenschutzrechtliche Zulässigkeit ist jedoch an strenge Voraussetzungen geknüpft, die in der Praxis häufig unterschätzt werden. Der vorliegende Beitrag beleuchtet, welche rechtlichen Anforderungen die DSGVO an den Einsatz biometrischer Zutrittskontrollen stellt und worauf Verantwortliche zwingend achten müssen. Fingerabdruck, […]
Unterschwellig, manipulativ, täuschend – Was verbietet Art. 5 Abs. 1 lit. a KI-VO?
Im ersten Beitrag dieser Reihe haben wir erläutert, warum die Verbote des Art. 5 KI-VO für viele schwer verständlich sind und angekündigt, die Leitlinien der EU-Kommission näher zu beleuchten. Nun steigen wir ein in die Analyse der einzelnen Verbote. Den Anfang macht das Verbot schädlicher Manipulation nach Art. 5 Abs. 1 lit. a KI-VO. In […]
Verwertung von Dashcam-Aufnahme trotz eines möglichen Datenschutzverstoßes
Videoaufnahmen von einem Autounfall aus einer Dashcam können anschließend verwertet werden, selbst wenn sie rechtswidrig aufgenommen wurden. Das Landgericht (LG) Frankenthal (Urteil vom 07.07.2025, Az.: 5 O 4/25) hat entschieden, dass die Videoaufnahme eines Tesla-Fahrzeuges auch dann vor Gericht als Beweismittel genutzt werden kann, wenn die Aufnahme ggf. rechtswidrig geschah. Was war geschehen? Dem Urteil […]
Kein automatischer Übergang des Auskunftsanspruchs bei Forderungsabtretung
Der Bundesgerichtshof (BGH) hat entschieden, dass ein Anspruch aus Art. 15 DSGVO nicht automatisch als Nebenrecht mit abgetretenen Erstattungs- oder Schadensersatzansprüchen auf den Erwerber übergeht (Urteil vom 24.02.2026, Az.: VI ZR 430/24). Gleichzeitig hat der BGH gerade nicht darüber befunden, ob ein solcher Anspruch überhaupt wirksam abgetreten werden kann. Relevant ist die Entscheidung vor allem […]
Neue Orientierungshilfe der DSK zur Mieterselbstauskunft – was hat sich geändert?
Wer eine Wohnung vermietet, kommt an einer Frage kaum vorbei: Was darf ich von potenziellen Mietern erfragen und was geht mich schlichtweg nichts an? Zwischen dem berechtigten Interesse der Vermieterseite an zahlungsfähigen und verlässlichen Mietern auf der einen und dem Recht des Mieters auf informationelle Selbstbestimmung auf der anderen Seite besteht ein Spannungsfeld. Das führt […]
Datenschutzbeauftragte auf dem Prüfstand – das ULD warnt vor dem Wegfall des § 38 BDSG
Die Diskussion ist nicht neu, bekommt aber gerade wieder Fahrt: Die Pflicht zur Bestellung eines Datenschutzbeauftragten nach § 38 Abs. 1 BDSG soll abgeschafft werden. Während wir bereits im Dezember 2025 über die ersten konkreten Pläne aus der Föderalen Modernisierungsagenda berichtet haben (s. Conrad, datenschutz notizen, 12.12.2025), hat nun das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein […]
E-Mail-Kommunikation von Rechtsanwältinnen und Rechtsanwälten
Dass die E-Mail-Kommunikation von Rechtsanwältinnen und Rechtsanwälten als Berufsgeheimnisträger mit Betroffenen ein von Zeit zu Zeit wiederkehrendes Thema beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) ist, zeigten bereits die Tätigkeitsberichte des BayLDA aus 2019 und 2023 – wir berichteten. Nun äußert sich das BayLDA in seinem aktuellen Tätigkeitsbericht 2025 erneut zu diesem Thema. Festhalten an bisherigen […]
Girls‘ & Boys‘ Day – Unsere Zukunft liegt in den Händen unserer Kinder
Ganz in diesem Sinne bot die DSN GROUP auch in diesem Jahr wieder Schüler*innen die Möglichkeit sich in der Bremer Überseestadt auf dem datenschutz nord CAMPUS über die verschiedenen Tätigkeitsbereiche einer auf die Beratung von Datenschutz, Informationssicherheit und Compliance ausgerichteten Unternehmensgruppe zu informieren. Im Rahmen des am 23. April 2026 bundesweit durchgeführten Zukunftstages (Girls‘ Day […]
Datenschutzrisiko bei Meta: Verdacht des Downloads von 30.000 privaten Facebook-Bildern durch einen Mitarbeiter
Datenschutzverletzungen entstehen nicht nur durch Hackerangriffe oder fehlerhafte IT‑Systeme. Manchmal können die Risiken mitten im Unternehmen verortet sein. Ein aktueller Fall aus Großbritannien zeigt eindrücklich, welche Gefahren von internen Zugriffen auf personenbezogene Daten ausgehen können. Worum geht es? Ein ehemaliger Mitarbeiter von Meta steht unter Verdacht, während seiner Beschäftigung ca. 30.000 private Facebook‑Bilder unbefugt heruntergeladen […]
China’s New Draft Rules for Small Personal Information Controllers
On 3 April 2026 China’s Cyberspace Administration (CAC) published a draft regulation titled the Provisions on Simplified Measures for Personal Information Protection by Small Personal Information Controllers (Draft for Comment) (the „Draft“). The Draft is open for public comment and, once finalized, will introduce a tiered compliance framework under China’s Personal Information Protection Law (PIPL). […]
Das neue Recruiting-Video – und gleich eine Datenpanne
In vielen Bereichen ringen Unternehmen und Behörden um geeignete Kandidat*innen für bestehende oder neue Stellen. Häufig wird dann durch Recruiting-Videos versucht, auf Jobs aufmerksam zu machen und sich als Arbeitgeber gut zu präsentieren. Um Einblicke in die „echte“ Arbeitswelt zu geben, entstehen solche Videos, die dann später auf der eigenen Website oder dem Social-Media-Auftritt veröffentlicht […]
The CNIL on AI and Data Subject Information: A Practical Guide for Organizations
The information obligation on the processing of personal data is a requirement that persists whenever a processing is performed. This does not exclude the processing of personal data for the purposes of AI models or system development. Those are the cases, for example, where personal data can be used to train the AI model. Last […]