Im Juli 2025 verhängte die italienische Aufsichtsbehörde für Datenschutz (Garante per la protezione dei dati personali, GPDP) ein Bußgeld in Höhe von 100.000 Euro gegen die Banco Bilbao Vizcaya Argentaria SA (BBVA). Was war passiert? Ein Kunde der Bank, der dort ein Girokonto hatte, wurde Opfer eines Betrugs und verlangte Zugang zu Telefonaufzeichnungen seiner Gespräche […]
Aufsichtsbehörden
Aufsichtsbehörden
Datenschutzverletzungen bei bayerischen Finanzämtern
Ende Oktober 2025 wurde der 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) veröffentlicht. Er umfasst den Berichtszeitraum vom 1. Januar bis 31. Dezember 2024. Wie jedes Jahr beleuchtet der Bericht eine Vielzahl aktueller datenschutzrechtlicher Themen von hoher Relevanz, darunter auch Fälle von Datenschutzverletzungen. Während wir in unserem Blog regelmäßig über Datenpannen berichten, widmet […]
Hackerangriffe auf öffentliche Stellen
Nicht nur in der Berichterstattung der Medien fällt derzeit die massive Zunahme von Cyber- und Hackerangriffen auf öffentliche Stellen auf (siehe bspw. die Website „Kommunaler Notbetrieb“). Auch im 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) wurde diese Entwicklung für die bayerischen Behörden festgestellt. Während unsere im Juni 2025 erschienene Blogreihe zu Handlungsempfehlungen bei […]
Datenschutz: Hessen macht den Weg frei für Microsoft 365
Wer die datenschutzrechtliche Entwicklung von Microsoft 365 in den letzten Jahren verfolgt hat (wir berichteten), erinnert sich vermutlich noch gut an das Statement der Datenschutzkonferenz (DSK) aus dem November 2022 (wir berichteten). Nur zur Erinnerung: Die DSK ist ein Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden und verfolgt das Ziel einer deutschlandweit einheitlichen Anwendung des Datenschutzes. Im Jahr […]
Datenpannen-Revival: Zu absurd, um wahr zu sein?
Vor fast zehn Jahren berichteten wir über einen skurrilen Fall einer Datenschutzverletzung: die Patientenakte aus der Konfettikanone. Was war passiert? Eine Anwohnerin hatte nach einem Karnevalsumzug und beim Zusammenfegen von Konfetti herumliegende Papierschnipsel mit dem Namen ihrer Schwester darauf entdeckt. Die personenbezogenen Daten stammten von nicht fachgerecht zerkleinerten Patientenakten eines Krankenhauses in Thüringen, welchen eine […]
Bußgeld in Millionenhöhe: Rundumschlag der kroatischen Aufsichtsbehörde
Ein kroatisches Telekommunikationsunternehmen verstieß gleich in mehrfacher Hinsicht gegen die Vorgaben der DSGVO und musste dies am Ende teuer bezahlen. Nachdem im Rahmen des aufsichtsbehördlichen Verfahrens unterschiedliche Verstöße festgestellt wurden, wurde das Telekommunikationsunternehmen von der kroatischen Datenschutzbehörde (AZOP) mit einer Geldstrafe in Höhe von insgesamt 4,5 Millionen Euro belegt. Sachverhalt Der in Kroatien ansässige Telekommunikationsanbieter […]
Helsinki Statement des EDSA: Ein Meilenstein für praxisnahen Datenschutz in Europa
Am 1. und 2. Juli 2025 versammelte sich der Europäische Datenschutzausschuss (EDSA) zu einem hochrangigen Gipfeltreffen in Helsinki. Das Ergebnis dieser Zusammenkunft ist die sogenannte „Helsinki-Erklärung“ – ein ambitioniertes Dokument, das die Einhaltung der Datenschutz-Grundverordnung (DSGVO) insbesondere für kleine und mittlere Unternehmen (KMU) vereinfachen und effizienter gestalten soll. Warum die Helsinki-Erklärung ein Wendepunkt sein könnte […]
CEF 2025: Europaweite Prüfaktion zum Recht auf Löschung („Recht auf Vergessenwerden“)
Auch in diesem Jahr führt der Europäische Datenschutzausschuss (EDSA) wieder eine Maßnahme zum koordinierten Durchsetzungsrahmen (Coordinated Enforcement Framework, kurz CEF) durch. Im Fokus des CEF 2025 steht das Recht auf Löschung gemäß Art. 17 DSGVO. Im Jahr 2024 fand bereits ein CEF zum Recht auf Auskunft (Art. 15 DSGVO) statt. Mittlerweile handelt es sich um […]
Betrugsmasche: Wenn der DSB anruft
Betrügerische Telefonanrufe nehmen seit Jahren zu und werden teilweise auch immer raffinierter. War es früher der vermeintliche „Lottogewinn“ oder der angebliche Hilferuf der Tochter, die plötzlich ganz viel Geld benötigt (sog. „Enkeltrick“), werden diese Betrugsmaschen immer vielfältiger. So wird u. a. gezielt nach Passwörtern oder speziellen Daten gefragt, um später diese Daten dann zu missbrauchen. […]
Sensible Daten per WhatsApp-Gruppe geteilt: Bußgeld für Taxiunternehmen?
Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW) informiert auf ihrer Website über einen Fall der unberechtigten Versendung personenbezogener Daten in WhatsApp-Gruppen. Was war geschehen? Ein Taxiunternehmen in Nordrhein-Westfalen hat über zwei WhatsApp-Gruppen („Taxi Newsletter“ und „Taxi Check Up Krankenbeförder…“) Daten von Kund*innen mit allen seinen Fahrer*innen geteilt – darunter Fotos der Personen […]
Einwilligungsfähigkeit von Minderjährigen bzgl. Fotos und Videos
Bevor Fotos und Videos einer betroffenen Person erstellt und veröffentlicht werden dürfen, ist in der Regel die Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO erforderlich. Bei Kindern und Jugendlichen gelten besondere Vorgaben. Kinder sind gemäß § 1 Abs. 1 Nr. 1 Jugendschutzgesetz (JuSchG) Personen, die noch nicht 14 Jahre alt sind. […]
Das Datenbarometer der BfDI
Datenschutz ist längst kein reines Spezialthema für Unternehmen, Behörden oder IT-Abteilungen mehr. In einer zunehmend digitalisierten Welt betrifft der Schutz personenbezogener Daten jeden Einzelnen – ob im Berufsleben, im öffentlichen Raum oder im privaten Alltag. Als Datenschutzberater sehen wir täglich, wie eng die rechtlichen und organisatorischen Anforderungen aus der Datenschutz-Grundverordnung (DSGVO) mit der praktischen Lebensrealität […]
Neues für das Kuriositätenkabinett: Wir wissen, wo dein Auto steht – oder doch nicht?
Die regelmäßigen Leser*innen unseres Blogs kennen die Berichte zu absurden und skurrilen Geschichten aus der Welt des Datenschutzes. Heute wollen wir Ihnen zeigen, wie es der Richtigkeitsgrundsatz, der in der täglichen Praxis meist weniger Aufmerksamkeit erhält als z. B. die Grundsätze der Zweckbindung oder Datensparsamkeit, in unser Kuriositätenkabinett geschafft hat. Der Richtigkeitsgrundsatz nach Art. 5 […]
Das Fahreignungsregister: Datenschutz im Fokus
Das Fahreignungsregister (FAER) – häufig als „Verkehrssünderkartei“ bezeichnet – enthält Informationen zu Verkehrsverstößen, Punkten in Flensburg und Entziehungen der Fahrerlaubnis. Diese Daten sind schützenswert, weil sie Auskunft über das Verhalten einzelner Fahrer*innen geben und Grundlage für Eingriffe in ihre Rechte sein können. Der Umgang mit dem Register ist deshalb eine Frage des Datenschutzes, nicht bloß […]
Automated Credit Scoring Under Scrutiny in Europe
The CJEU’s SCHUFA judgement (C-634/21) in 2023 clarified that producing and transmitting a credit score can itself amount to an automated decision under Article 22 GDPR where the score is determinative for contract outcomes. This ruling has now translated into concrete enforcement. In 2025, both the Austrian and Hamburg DPAs issued decisions that apply these […]