In a recent decision, the Icelandic Data Protection Authority (DPA), Persónuvernd, upheld the legitimate interest of companies sending customer satisfaction surveys and cross-referencing caller information. The case involved the insurance company VÍS and one of its customers and addressed whether a data controller could lawfully cross-check a (anonymous) caller’s phone number with its customer database […]
Allgemein
Allgemein
Understanding China’s Network Data Security Management Regulation: Key Comparisons with GDPR and PIPL
After years of development, People’s Republic of China (“China”) has established a data security legal framework centered on the “Cybersecurity Law”, “Data Security Law”, and “Personal Information Protection Law” (PIPL). The issuance of the “Network Data Security Management Regulation” (“the Regulation”) by the State Council coordinates the implementation of the data security management requirements stipulated […]
Verantwortliche müssen ihren DSB unterstützen
Die EU- Datenschutz-Grundverordnung (DSGVO) setzt nicht nur Pflichten voraus, wie Verantwortliche und Auftragsverarbeiter mit personenbezogenen Daten umzugehen haben, sondern dass sie auch ihren (externen) Datenschutzbeauftragte (kurz: DSB) in alle Belange, die mit der Verarbeitung von personenbezogenen Daten zusammenhängen, einzubinden haben (vgl. Art. 38 DSGVO). Doch warum beschäftigen wir uns in diesem Blogbeitrag gerade mit der […]
Bürokratieentlastungsgesetz IV – Abschaffung der Meldepflicht in Beherbergungsstätten für deutsche Gäste
Mit dem Inkrafttreten des Bürokratieentlastungsgesetzes IV gehen einige formelle Erleichterungen für Beherbergungsstätten einher. Insbesondere wird die „lästige Zettelwirtschaft“ in Form von Ausfüllen eines Meldescheines durch jeden Gast beim Check-In vereinfacht. In der Vergangenheit unterlag jede Beherbergungsstätte der gesetzlichen Verpflichtung, die in §§ 29, 30 Bundesmeldegesetz (BMG) genannten personenbezogenen Daten des Gastes über einen Meldeschein zu […]
Keine pauschale Abfrage zu einem möglichen Läusebefall durch Gemeinschaftseinrichtungen
Wenn es bei den Kindern auf dem Kopf krabbelt, ahnen sicherlich viele Eltern schon das Dilemma: Läuse. In Kindergärten und Schulen deutschlandweit ein Thema, da sich die Kinder gegenseitig anstecken und somit ganze Klassen oder Kindergartengruppen betroffen sein können. Kaum ist die Behandlung abgeschlossen, geht es wieder von vorne los. Um die Ausbreitung der Kopfläuse […]
Barrierefreiheit als Herausforderung für den Datenschutz?
Die Barrierefreiheit von Dienstleistungen, Produkten und Informationen ist ein zentraler Baustein für eine inklusive Gesellschaft. Dabei geht es um den Abbau von Hindernissen für Menschen mit Beeinträchtigungen, die diese an der „vollen, wirksamen und gleichberechtigten Teilhabe an der Gesellschaft hindern können“ (vgl. Art. 3 Nr. 1 Richtlinie (EU) 2019/882). Insbesondere im digitalen Raum erfordert die […]
Hilfe, die Behörde verlangt Auskunft!
Im Alltag von Unternehmen oder anderen verantwortlichen Stellen kommt es immer wieder vor, dass Behörden wie die Polizei oder die Staatsanwaltschaft Auskunft über Kunden, Mitarbeiter oder andere betroffene Personen verlangen. Oftmals wird hierbei die autoritäre Stellung der anfragenden Behörden so stark wahrgenommen, dass die Empfänger der Anfragen schnell und ohne ausreichende Prüfung der Datenschutzaspekte reagieren. […]
Erste Akkreditierung der DAkkS zur Zertifizierung von Datenschutz-Managementsystemen
Die datenschutz cert erhält die deutschlandweit erste Akkreditierung gemäß ISO/IEC 27701 zum Datenschutz-Management. Viele Unternehmen wollen die Einhaltung von Datenschutzanforderungen prüfen und bestätigen lassen. Das geht durch die Ergänzungsnorm ISO/IEC 27701. Diese ergänzt – wie der Name schon verrät – eine bereits bestehende ISO/IEC-Norm und zwar die ISO/IEC 27001. ISO/IEC 27001 und die ISO/IEC 27701: […]
Gesichtserkennung und heimliche Überwachung – Der Gesetzgeber muss handeln
Das Thema Gesichtserkennung ist ein Dauerbrenner, entsprechende Software wird – nicht unproblematisch – sowohl durch Behörden (wir berichteten) als auch durch private Unternehmen eingesetzt (wir berichteten). Gesichtserkennung als Teil des „Sicherheitspakets“ Nach dem schrecklichen Anschlag in Solingen wurde die Gesichtserkennung als Teil des „Sicherheitspakets“ auch im neuen Entwurf des Gesetzes zur Verbesserung der Terrorismusbekämpfung vorgesehen. […]
Umgang der Aufsichtsbehörden mit Kameraattrappen
Viele Unternehmen oder auch Privatpersonen setzen auf Kameraattrappen statt auf eine echte Videoüberwachung zur Abschreckung vor einem unbefugten Zutritt auf das eigene Gelände bzw. Grundstück. Oftmals wird der aus der Attrappe resultierende Überwachungsdruck bereits als ausreichend für die verfolgten Sicherheitsinteressen empfunden. Gleichzeitig wird in Kameraattrappen der Vorteil gesehen, dass keine Verarbeitung personenbezogener Daten stattfindet, der […]
Biometric Data and GDPR Compliance – a Case Analysis
The growing use of biometric systems in workplaces has brought new challenges for data protection, especially with the General Data Protection Regulation (GDPR) in Europe. A recent case in Belgium highlights these issues after a company introduced a fingerprint-based time-tracking system without properly adhering to GDPR rules. Facts In 2020, a Belgian company began using […]
The landscape of online proctoring and the intersection of GDPR and US laws
With the rise of remote learning, online proctoring – used to ensure academic integrity during virtual exams – has become widely adopted by schools and universities across the U.S. These tools use methods like identity verification, video and audio monitoring, eye-tracking, and even AI-based behavioral analysis. As this technology proliferates, concerns about how such software […]
Beschäftigtendatengesetz – Mehr Klarheit im Umgang mit Beschäftigtendaten?
Nach der Veröffentlichung des Eckpunktepapiers zu einem Beschäftigtendatenschutzgesetz im April 2023 (wir berichteten) wartete man vergebens auf weitere Konkretisierungen oder gar Entwürfe. Der Ruf nach detaillierten und eigenständigen Regelungen im Beschäftigtendatenschutz wird – spätestens seit dem der EuGH mit Urteil vom 30.3.2023 (C-34/21) der wichtigsten Norm im deutschen Beschäftigtendatenschutz § 26 Abs. 1 S. 1 BDSG indirekt […]
Navigating Employee Email Privacy: Lessons from a recent Fine by Italy’s DPA
The Italian Data Protection Authority (Garante) recently imposed a significant fine of 80,000 euros on a company, for mishandling a sales agent’s email data, highlighting once again the challenges and complexities of managing employee data, in particular when access to employees’ emails is required. The issue arose when the company used a backup of the […]
Schwärzung als rechtswidrige Datenverarbeitung
Anfang Oktober 2024 haben wir über einen Schwärzungsleitfaden der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) berichtet, an dem sich Verantwortliche orientieren und ihre Beschäftigten entsprechend sensibilisieren können. Hierbei ging es um Fälle, in denen Unterlagen vor der Herausgabe an Dritte zu schwärzen sind, um eine unzulässige Datenverarbeitung in Form einer unrechtmäßigen Offenlegung personenbezogener Daten zu vermeiden. […]