The information obligation on the processing of personal data is a requirement that persists whenever a processing is performed. This does not exclude the processing of personal data for the purposes of AI models or system development. Those are the cases, for example, where personal data can be used to train the AI model. Last […]
C5:2026 – Der neue Kriterienkatalog ist da
In seiner Pressemitteilung vom 7. April 2026 verkündete das Bundesamt für die Sicherheit in der Informationstechnik (BSI), dass der Cloud Computing Compliance Criteria Catalogue (C5) in der neuen Version 2026 zur Verfügung steht. Gründe für die Überarbeitung Die Vorgängerversion stammt aus dem Jahr 2020. Seitdem haben sich zahlreiche technische Fortschritte sowie neue Entwicklungen ergeben. Sowohl […]
„Widerrufsbutton“ bald Pflicht in B2C-Onlineshops
Am 19. Juni 2026 tritt der neue § 356a BGB in Kraft – und führt damit zu neuen Anforderungen für Onlineshops, die sich an Verbraucher richten (B2C-Shops). Die Änderung der Norm resultiert aus einer Umsetzung der Richtlinie (EU) 2023/2673 in nationales Recht. Durch diese Richtlinie wurde ein neuer Artikel 11a in die Verbraucherrechte-Richtlinie (Richtlinie 2011/83/EU) […]
VR‑Brille: Virtuelle Welten, reale Datenschutzrisiken
In den letzten Jahren haben sich VR‑Brillen von reinen Gaming-Gadgets zu leistungsstarken Allround‑Werkzeugen entwickelt. Sie können u. a. zu Simulationen und innovativen Arbeits- und Bildungsszenarien verwendet werden. Beispielsweise können Laborversuche oder medizinische Eingriffe, ganz ohne reale Risiken situativ erlebt werden. Aber auch Unternehmen können Virtual Reality für Trainings nutzen, um Mitarbeitende realitätsnah auf Gefahrensituationen, Maschinenbedienung oder […]
Data Act Implementation in Germany: Enforcement Could be Around the Corner – Organisations Should Act Now
Germany has taken a decisive step towards implementing the EU Data Act. On 26 March 2026, the Bundestag passed the Data Act-Durchführungsgesetz (DADG), establishing the national framework for enforcement. While further legislative steps may still follow before the law formally enters into force, the direction is now clear. For organisations operating in Germany, this marks […]
Passkeys – Wie ein unsichtbarer Schlüssel das Passwort ablöst
Das Passwort ist ein erstaunlich zähes Konstrukt. Seit den 1960ern schützt es digitale Konten – meistens schlecht, fast immer lästig. Jetzt gibt es einen Nachfolger: Er heißt Passkey und er funktioniert grundlegend anders. Ein Schlüssel, der nicht verloren gehen kann Man stelle sich vor, jeden Morgen das Büro zu betreten – ohne Schlüssel, ohne Code, ohne […]
Kostenlose Kopie der Patientenakte – auch im Todesfall?
Der Kostenfaktor bei der Kopie der Patientenakte hat in der Vergangenheit nicht nur Ärzte, Datenschutzbeauftragte und Gerichte, u. a. den EuGH, beschäftigt. Knapp zusammengefasst war nach § 630g BGB in der bis Anfang Februar 2026 gültigen Fassung eine Kostentragungspflicht der Patienten gegeben, während der Auskunftsanspruch nach den Datenschutzgesetzen (DSGVO, KDG, DSG-EKD) grundsätzlich unentgeltlich ist. Durch […]
ArbG Offenbach urteilt: Versäumte Bearbeitung eines Whistleblower-Hinweises führt zur Kündigung
Im Rahmen des Hinweisgeberschutzgesetzes (HinSchG), das Unternehmen mit in der Regel mehr als 50 Beschäftigten zur Einrichtung und zum Betrieb einer internen Meldestelle verpflichtet, ist ein sorgfältiger und regelkonformer Umgang mit eingehenden Hinweisen unerlässlich. Es schafft nicht nur eine vertrauliche Umgebung für die Abgabe von Hinweisen über potenzielle Missstände innerhalb einer Organisation, sondern fördert auch […]
KI-Systeme im Krankenhaus – datenschutzrechtliche und sicherheitstechnische Pflichten
Vor kurzem hatten wir über Betreiberpflichten und Haftungsfragen von Krankenhäusern nach der KI-Verordnung der Europäischen Union berichtet. Im vorliegenden Artikel wird nunmehr darauf eingegangen, welche spezifischen datenschutzrechtlichen und sicherheitstechnischen Anforderungen an Krankenhäuser gestellt werden, wenn diese KI-Systeme betreiben. Hierzu gehören neben der Auswahl eines geeigneten KI-Systems und KI-Modells auch Zusatzregelungen zur Wahrung der ärztlichen Schweigepflicht […]
Horch mal, wer das schreit – Datenschutz bei Babyphonen
Ein Neugeborenes kann weder rufen, noch aufstehen, noch sich bemerkbar machen – es ist in jeder Hinsicht auf Erwachsene angewiesen. Da diese jedoch nicht rund um die Uhr physisch neben dem Kind sitzen können, entsteht ein praktisches Problem: Wie bleibt man erreichbar, ohne permanent im selben Raum zu sein? Die Lösung: ein Babyphone Während sich […]
Informationssicherheit entlang der Lieferkette: Strukturiertes Management von Dienstleistern
Die Nutzung von Cloud-Angeboten, Softwarelösungen sowie spezialisierten Fachfirmen führt dazu, dass heute zentrale Geschäftsprozesse in wesentlichen Teilen durch externe Dienstleistungen unterstützt werden. Dadurch entstehen Abhängigkeiten, die natürlich den Geschäftsbetrieb, aber insbesondere auch die Informationssicherheit, unmittelbar beeinflussen. Schwachstellen oder Ausfälle bei einem Dienstleister oder Lieferanten (nachfolgend zusammengefasst als „Dienstleister“) können unmittelbare Auswirkungen auf das eigene Unternehmen […]
The Italian DPA’s Fine Against Intesa Sanpaolo: Lessons for Access Management and Data Breach Handling
On 26 March 2026, the Italian data protection authority (Garante per la protezione dei dati personali, „Garante“) fined Intesa Sanpaolo S.p.A. €31,800,000. This is one of the largest fines the Garante has ever imposed, and it carries clear lessons for any organisation that processes personal data at scale – not just banks. What Happened Between […]
Löschersuchen erfüllen: Sieht oft einfacher aus, als es ist!
Ein wichtigstes Instrument in der Datenschutz-Grundverordnung (DSGVO) sind die sog. „Betroffenenrechte“ nach Art. 12–23 DSGVO, wobei insbesondere das Recht auf Auskunft (Art. 15 DSGVO) und das Recht auf Löschung (Art. 17 Abs. 1 DSGVO) bzw. das „Recht auf Vergessenwerden“ (Art. 17 Abs. 2 DSGVO) in der Praxis Anwendung finden. Dieser Beitrag befasst sich mit dem […]
Die Stimme als biometrisches Datum
Transkriptions-Tools, KI-gestützte Sprachassistenten, Live-Dolmetscher oder Voice-Generatoren sind längst keine Zukunftsvision mehr, sondern fester Bestandteil unseres beruflichen wie privaten Alltags. Was auf den ersten Blick als bloßer Effizienzgewinn erscheint, wirft bei näherer Betrachtung grundlegende datenschutzrechtliche Fragen auf, denn all diesen Technologien ist eines gemein: Sie verarbeiten die menschliche Stimme. Der vorliegende Beitrag setzt sich mit der […]
Wenn Nachbarn zu „Datenschutz-Verantwortlichen“ werden
Der Datenschutz betrifft nicht nur Unternehmen oder Behörden! Ein aktueller Fall aus dem Tätigkeitsbericht 2025 des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) zeigt deutlich: Auch Privatpersonen können schnell in die Rolle eines datenschutzrechtlich Verantwortlichen rutschen – mit allen daraus folgenden Pflichten. Der Fall In einer Wohnungseigentümergemeinschaft (WEG) wurden über 300 Bewohner per E-Mail dazu aufgefordert, Verstöße […]