Die eIDAS-Verordnung sieht zu etlichen Anforderungen Konkretisierungen in Form von sog. Implementing Acts (Durchführungsrechtsakte) vor. Europäische Harmonisierung Durch diese Konkretisierungen sollen Vertrauensdienste in Europa stärker harmonisiert werden; bislang sorgten nationale Regelungen z.T. für eine Ungleichbehandlung. Diese Implementing Acts werden derzeit nach-und-nach veröffentlicht. Die neuen Implementing Acts sind keineswegs rein formale Ergänzungen. Sie können erhebliche Auswirkungen […]
Allgemein
Allgemein
Neuigkeiten zum Auskunftsrecht – Teil 2
Im zweiten Teil unserer Reihe zum „Recht auf Auskunft“ nach Art. 15 DSGVO wollen wir die derzeitigen Reformvorschläge der EU-Kommission (digitaler Omnibus) sowie einige aktuelle Urteile näher beleuchten. Digitaler Omnibus Über den digitalen Omnibus wird zurzeit kontrovers diskutiert. Nach Meinung einiger Rechtswissenschaftler*innen könnte gar ein Paradigmenwechsel im Datenschutzrecht bevorstehen. Auch beim Auskunftsrecht nach Art. 15 […]
Cyberangriff bei der Deutschen Bahn
Die Datenschutz-Grundverordnung (DSGVO) schützt nicht nur die Vertraulichkeit personenbezogener Daten, sondern ebenso deren Integrität und Verfügbarkeit. Gerade die Verfügbarkeit wird in der Praxis häufig unterschätzt – dabei können Ausfälle erhebliche Risiken für betroffene Personen und Unternehmen schaffen. Warum also gilt schon eine bloße Nicht‑Verfügbarkeit personenbezogener Daten als „Datenpanne“ im Sinne von Art. 33 DSGVO? Eine Datenpanne […]
Neues zu reCAPTCHA – Google wird Auftragsverarbeiter
Google hat angekündigt, seine Rolle beim Einsatz von reCAPTCHA grundlegend zu ändern. Ab dem 2. April 2026 wird Google bei reCAPTCHA nicht mehr als datenschutzrechtlich Verantwortlicher auftreten, sondern als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Damit wird eine Grundsatzfrage bei reCAPTCHA geklärt, die bislang offen war und maßgeblich dazu beigetragen hat, dass […]
Neuigkeiten zum Auskunftsrecht – Teil 1
Das Recht auf Auskunft nach Art. 15 DSGVO stellt für die betroffenen Personen ein zentrales Werkzeug aus der DSGVO dar. Mit diesem grundsätzlich sehr weitreichenden Anspruch kann die betroffene Person von Unternehmen und sonstigen Stellen einerseits Auskunft über die sie betreffende Datenverarbeitung und andererseits sogar eine Kopie dieser Daten verlangen. Das könnten also mitunter sehr […]
Datenauswertung & DSGVO: Ab wann greifen auch bei Statistiken die Regeln der DSGVO?
Es werden heute überall Daten gesammelt – in Unternehmen, in der Forschung, im Gesundheitswesen oder im Alltag durch Apps und verschiedene Online-Dienste. Doch was passiert eigentlich mit all diesen Informationen? Genau hier kommt das Auswerten von Daten ins Spiel. Wir befassen uns im heutigen Beitrag mit dem Thema Daten, die für Auswertungen bzw. Reports verwendet […]
Ransomware-Attacken: Die aktuelle Bedrohungslage und der Einfluss der Künstlichen Intelligenz
Die Anzahl der Ransomware-Angriffe hat im vergangenen Jahr einen neuen Höchststand erreicht. Die Bedrohungslage dürfte sich auch im Jahr 2026 weiter zuspitzen und aufgrund des zunehmenden Einsatzes Künstlicher Intelligenz (KI) zugleich an Komplexität gewinnen. Die besonders perfide Form eines Cyberangriffs, bei dem Daten verschlüsselt und Lösegeld erpresst wird, betrifft immer wieder Unternehmen, Behörden, Kanzleien und […]
Was der BGH alles unter „Vertrag“ versteht
Die Sportvereine in Deutschland sind so beliebt wie nie zuvor. Was oft wie eine Idylle wirkt, auch hier kann es zu Streitigkeiten kommen, die korrekt vor Gericht ausgetragen werden wollen. Und im folgenden Fall hatte letztlich sogar der Bundesgerichtshof (BGH) zu entscheiden. Widerstand gegen Grundstücksverkauf Im Jahr 2018 veräußerte ein eingetragener Sportverein mehrere Grundstücksflächen an […]
Dienstleister ärgere dich nicht – Dienstleister-Audits
Heute werfen wir einen Blick auf Dienstleister-Audits und worauf in diesem Zusammenhang zu achten ist. Spielregeln Laut Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) arbeitet ein Verantwortlicher nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Um dieser Pflicht nachkommen zu können, empfehlen wir in der Beratungspraxis – neben […]
Unzulässige E-Mail-Werbung – trotz (indirektem) LinkedIn-Kontakt?
Die Zusendung von Werbung per E-Mail ist grundsätzlich nur mit vorheriger, ausdrücklicher Einwilligung zulässig. Diese Rechtslage hierzulande dürfte mittlerweile allseits bekannt sein. Unternehmen sollten dementsprechend ihr Marketing bzw. ihren Vertrieb auf ein dokumentiertes Einwilligungsmanagement abstellen und transparent über die Datenverarbeitung informieren. Nur in besonderen Ausnahmefällen kann hiervon abgewichen werden, wie z. B. bei dem umstrittenen […]
Der Art. 42 DSGVO – information privacy standard – Einordnung für die Datenschutzberatung
Seit März 2025 führt der Europäische Datenschutzausschuss (EDSA) in seinem offiziellen Verzeichnis der Zertifizierungsmechanismen („Register of certification mechanisms, seals and marks“) einen weiteren Standard nach Art. 42 DSGVO: den „DSGVO – information privacy standard“. Der zugehörige Kriterienkatalog ermöglicht eine Zertifizierung nach Art. 42 DSGVO sowohl für Verantwortliche als auch für Auftragsverarbeiter. Anwendungsbereich und Ausrichtung des […]
EuGH stärkt „Soft-Opt-in“ – Einwilligungserfordernis bleibt grundsätzlich bestehen
Am 13. November 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C‑654/23 – „Inteligo Media“ für mehr Klarheit in der umstrittenen Frage gesorgt, unter welchen Voraussetzungen Unternehmen informative Newsletter mit werblichen Elementen ohne ausdrückliche Einwilligung versenden dürfen. Die Entscheidung betrifft nicht nur die Auslegung des Begriffs „Direktwerbung“ nach der ePrivacy-Richtlinie, sondern auch das Verhältnis […]
Haftung für Drittanbieter-Cookies: Nicht nur der Website-Betreiber in der Verantwortung
Cookies – eine unendliche Geschichte. Spätestens seit DSGVO und TDDDG gilt: Ohne ausdrückliche Einwilligung geht bei nicht-essenziellen Cookies nichts. Diesmal im Fokus: die Frage, ob auch Drittanbieter haften, selbst wenn sie nicht Betreiber der Websitesind. Mit dieser Frage beschäftigte sich jüngst das Oberlandesgericht Frankfurt am Main (OLG Frankfurt) und hat mit seinem Urteil vom 11. […]
Datenschutz in der Schulsozialarbeit: Schweigepflicht gilt auch für Namen von Schüler*innen
Die Zusammenarbeit zwischen Lehrkräften, Schulleitung und Schulsozialarbeit ist ein zentraler Bestandteil schulischer Unterstützung. Gleichzeitig unterliegt diese Kooperation strengen datenschutzrechtlichen Vorgaben, insbesondere wenn Schülerinnen und Schüler personenbezogene oder besonders sensible Informationen offenbaren. Der zugrunde liegende Fall aus dem siebten Tätigkeitsbericht des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) verdeutlicht die rechtlichen Rahmenbedingungen und zeigt […]
Vertrauen ist gut, Kontrolle ist besser!
Dieser Leitsatz gilt ganz besonders beim Einsatz von Auftragsverarbeitern. Auch wenn externe Dienstleister gem. Art. 28 DSGVO zur Einhaltung des Auftragsverarbeitungsvertrags vertraglich verpflichtet sind, bedeutet das nicht, dass sich der Verantwortliche zurücklehnen kann. Letztlich sind es seine Daten, für die er Sorge zu tragen hat und Verantwortung übernehmen muss. Ein Urteil des Bundesgerichtshofs vom 11. […]