The CJEU’s SCHUFA judgement (C-634/21) in 2023 clarified that producing and transmitting a credit score can itself amount to an automated decision under Article 22 GDPR where the score is determinative for contract outcomes. This ruling has now translated into concrete enforcement. In 2025, both the Austrian and Hamburg DPAs issued decisions that apply these […]
Aufsichtsbehörden
Aufsichtsbehörden
33. Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationssicherheit Saarland – Zahlen und Fakten
Nach Angaben der Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) des Saarlandes stellen die Tätigkeitsberichte der Datenschutzaufsichtsbehörden eine zentrale Quelle zur Informationsgewinnung über aktuelle Entwicklungen im Datenschutzrecht dar. Die wesentlichen datenschutzrechtlichen Fragestellungen und Schwerpunkte werden in diesen Berichten systematisch und kapitelweise aufgearbeitet und analysiert. Um jedoch ein umfassendes Gesamtbild zu erhalten, werden ergänzend auch quantitative Daten […]
Datenschutz und Betriebsrat – Spannungsverhältnis zwischen Mitwirkungspflicht und Schweigepflicht
Betriebsräte sind die Interessenvertreter von Beschäftigten und haben dabei häufig mit sensiblen personenbezogenen Daten zu tun. Mitglieder des Betriebsrates unterliegen zwar einer Verschwiegenheitspflicht, insbesondere in Bezug auf Mitarbeiterdaten, die ihnen aufgrund ihrer Tätigkeit bekannt werden. Dennoch sind sie in datenschutzrechtliche Prozesse eingebunden und können sich nicht pauschal auf ihre Sonderstellung berufen. Kommt es etwa zu […]
Datenschutz-Folgenabschätzung – Risikobeurteilung Teil 3 – Nettorisiko
Die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) ist aufgrund des Umfangs der hierfür notwendigen Kapazitäten sowie der Notwendigkeit der Zusammenarbeit der verschiedenen Disziplinen eine große Herausforderung für die meisten Verantwortlichen. In diesem dritten Beitrag wird der Fokus auf die finale Risikoermittlung gelegt. In den vorherigen Beiträgen wurde bereits die Ermittlung der einzelnen Risikoszenarien als Bruttorisiko sowie die […]
Datenschutz-Folgenabschätzung – Risikobeurteilung Teil 2 – technische und organisatorische Maßnahmen (TOM)
Da die Datenschutz-Folgenabschätzung (DSFA) die Beteiligten im Unternehmen regelmäßig vor nicht unerhebliche Herausforderungen stellt, soll in diesem zweiten Beitrag der Schwerpunkt auf die Erfassung der technischen und organisatorischen Maßnahmen (TOM) gelegt werden. In einem vorangegangenen Beitrag zur DSFA wurde bereits die Ermittlung des Bruttorisikos etwaiger Risikoszenarien beleuchtet, unter Rückgriff auf die Unterlagen zur DSFA des […]
Datenschutz-Folgenabschätzung – Risikobeurteilung Teil 1 – Bruttorisiko
Die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) ist die umfangreichste und detaillierteste Dokumentation, die das Datenschutzrecht verlangt. Aufgrund des Umfangs der hier geforderten Inhalte und der vorzunehmenden Risikobeurteilung ist eine DSFA für die meisten Verantwortlichen eine große Herausforderung. In diesem und zwei nachfolgenden Beiträgen steht die Risikobeurteilung im Vordergrund, die ein Teil der DSFA ist. Die Beitragsreihe […]
EDSA setzt 2026 auf Transparenz: Koordinierte Prüfung der Informationspflichten
Der Europäische Datenschutzausschuss (EDSA) hat das Thema für die nächste koordinierte Durchsetzungsmaßnahme festgelegt: 2026 werden die europäischen Datenschutzaufsichtsbehörden gemeinsam untersuchen, wie Verantwortliche ihre Transparenzpflichten nach der DSGVO umsetzen. Transparenz auf dem Prüfstand Die fünfte Coordinated Enforcement Framework (CEF)-Aktion nimmt die Artikel 12, 13 und 14 DSGVO unter die Lupe. Diese Bestimmungen regeln, wann und wie […]
You Have Been Called Out: The ICO’s Warning Against Unlawful Marketing
Recently, the UK’s Information Commissioner’s Office (ICO) has imposed significant fines totaling in £550,000 against two companies relying on unlawful automated marketing calls, or “robo calls” (read here). Green Spark Energy Ltd was fined £250,000 for making 9.5 million unsolicited automated calls, while Home Improvement Marketing Ltd faced a £300,000 penalty for making 2.4 million […]
CNIL verhängt neue Strafe gegen Google wegen Gmail-Werbung ohne Einwilligung
Die französische Datenschutzbehörde CNIL hat Google erneut ins Visier genommen. In einer am 1. September 2025 veröffentlichten Entscheidung wirft sie dem Konzern mehrere Verstöße gegen die Datenschutz- und die ePrivacy-Verordnung vor. Es geht um zwei Themen, die für viele Unternehmen Alltag sind – aber rechtlich oft unterschätzt werden: Werbe-E-Mails und Cookies. Was auf den ersten […]
Cookies are not always sweet in France
In the last three years, very high fines have been issued by the French data protection authority (Commission Nationale de l’Informatique et des Libertés or CNIL) to big companies for non-compliance in the area of cookies and tracking devices. Some examples are: the 35 million euros sanction imposed by the CNIL against Amazon in 2020 […]
Unkontrollierte Datenvernichtung – Bußgeld gegen Wohltätigkeitsorganisation
Bußgelder aufgrund von Datenschutzverstößen, etwa wenn personenbezogene Daten nicht oder zu spät gelöscht bzw. vernichtet worden sind, sind keine Seltenheit (ein Beispiel, über das wir auf diesem Blog berichteten, finden Sie hier). Doch auch der umgekehrte Fall, also die Löschung bzw. Vernichtung personenbezogener Daten, kann einen Verstoß im Sinne des Datenschutzes darstellen. Dies zeigte kürzlich […]
Eintritt nur nach Fingerabdruck: Bußgeld gegen den Loro Parque
Der Loro Parque auf Teneriffa wird immer wieder für seine Tierhaltung kritisiert. Dass es auch beim Datenschutz Anlass für Beschwerden gab, wurde in den Medien vergleichsweise wenig thematisiert. Daher dürfte die Geldbuße in Höhe von 250.000 Euro, die von der spanischen Datenschutzaufsichtsbehörde Agencia Española de Protección de Datos (AEPD) gegen den Betreiber des Parks, die […]
ULD Sommerakademie 2025 – Sicherheit und Datenschutz?
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in Kiel hat seine Sommerakademie 2025 ganz unter die durchaus kontroverse Ausgangsfrage gestellt: „Im Alarmmodus: Sicherheit und Datenschutz?“. Das Verhältnis zwischen Sicherheit und Freiheit wurde damit auf eindrucksvolle Weise in den Mittelpunkt der Veranstaltung gerückt. Vorträge bei der Sommerakademie 2025 Die Begrüßung der Anwesenden zu Beginn der Veranstaltung […]
Websites: Transparenzanforderungen an Datenschutzerklärungen
In unserem Blog haben wir bereits mehrfach über die datenschutzrechtlichen Informationspflichten berichtet (bspw. hier). Heute befassen wir uns mit dem Thema Datenschutzerklärungen bzw. Datenschutzhinweise auf Websites und den Empfehlungen des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) dazu. Gesetzliche Anforderungen Gemäß Art. 12 Abs. 1 S. 1 DSGVO trifft der Verantwortliche geeignete Maßnahmen, um der […]
BlnBDI: keine vollständige Aufbewahrung erteilter Auskünfte bei Auskunftsersuchen
Das Recht auf Auskunft (gemäß Art. 15 DSGVO) gehört nach wie vor zu den datenschutzrechtlichen Betroffenenrechten, die Unternehmen – und auch Gerichte – am meisten beschäftigen. Während es in der Beratungspraxis zumeist darum geht, welche personenbezogenen Daten in welchem Ausmaß gegenüber der antragstellenden Person beauskunftet werden müssen und wie festgestellt werden kann, ob es sich […]