Nachdem im ersten Teil dieser Beitragsreihe die Meldung der Hackerangriffe als Datenschutzverletzung behandelt wurde, betrachten wir heute die nach einem Hackerangriff zu ergreifenden technisch-organisatorischen Maßnahmen (TOMs) sowie weitere gesetzliche Mitteilungspflichten, die etwaig zu beachten sind und die der BayLfD in seinen Kurz-Mitteilungen 57 „Strafanzeige als technisch-organisatorische Maßnahme nach Hackerangriff?“ und 58 „Meldung nach Art. 33 […]
Aufsichtsbehörden
Aufsichtsbehörden
Hackerangriffe und Datenschutzverletzung: Eine Handlungsempfehlung des BayLfD für öffentliche Stellen – Teil 1
In einer derart dynamischen, weitestgehend digitalisierten Welt, wie wir sie heutzutage wahrnehmen, rückt der Themenkomplex Cyberkriminalität und IT-Sicherheit immer weiter in den Vordergrund. Wer in den letzten Wochen die Berichterstattungen verfolgt hat, konnte vor allem folgende Stichworte lesen: Cyberattacken und Hackerangriffe. Die nachfolgende Beitragsreihe greift das Thema Hackerangriffe und Datenschutzverletzungen auf und ordnet das Phänomen […]
Datenschutzprüfung bei Onlinewerbeunternehmen: Herausforderungen im Umgang mit Einwilligungen
Im Jahr 2024 führte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) eine Vor-Ort-Prüfung bei einem Unternehmen durch, das im Bereich der Onlinewerbung als Datenhändler tätig ist. Die BlnBDI beschreibt in ihrem kürzlich vorgelegten Tätigkeitsbericht 2024 die dabei gewonnenen Erkenntnisse (vgl. Kapitel XII, Abschnitt 2). Der Fokus der Prüfung lag auf der datenschutzkonformen Verarbeitung personenbezogener […]
Tätigkeitsbericht Hessen für 2024 erschienen
Ende Mai veröffentlichte der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBfDI) seinen Tätigkeitsbericht für das Jahr 2024. Er lieferte damit wieder wertvolle Tipps für Verantwortliche und für die Beratungspraxis. Ein paar besonders interessant erscheinende Aspekte aus dem Tätigkeitsbericht sollen an dieser Stelle vorgestellt werden. MS 365 – Fortschritte bei den Zusatzvereinbarungen ? Viele datenschutzrechtlich Verantwortliche […]
BfDI: 45 Mio. Euro Geldbuße gegen Vodafone
Das höchste, bisher verhängte Bußgeld in Deutschland für Verstöße gegen die DSGVO betrug 35,3 Mio. Euro. Seit dem 03.06.2025 steht der Titel „höchstes Bußgeld“ der Vodafone GmbH (Vodafone) zu. Das Bußgeld in Höhe von 45 Mio. Euro, verhängt von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), setzt sich aus zwei Einzelbußgeldern zusammen. Diese […]
Hamburger Aufsichtsbehörde gibt Hinweise zum Data Act und Datenschutz
Im Januar 2024 berichteten wir zuletzt über den Data Act und dessen Verkündung. Damals wurde darauf hingewiesen, dass er ab September 2025 in Kraft tritt und somit für Unternehmen verpflichtend wird. Da dieser Zeitpunkt näher rückt, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in einer Handreichung auf den Data Act aufmerksam gemacht und […]
Mitarbeiterexzesse und Meldepflichten bei Datenpannen
Heute möchten wir aufgrund der Relevanz für die Beratungspraxis näher auf einen Fall eingehen, über den wir bereits in einem englischsprachigen Beitrag berichteten. Die belgische Datenschutzaufsichtsbehörde hat sich kürzlich mit zwei häufig auftretenden Fragen beschäftigt (Entscheidung 64/2025 vom 01.04.2025, abrufbar hier): Wann ist ein Beschäftigter für sein Handeln selbst verantwortlich und wem obliegt in diesen […]
4. Hamburger Datenschutzforum: Data Act als neue Herausforderung für den Datenschutz?
Die Hamburger Datenschutzgesellschaft e.V. (HDG) und die Hamburger Handelskammer luden am 15. Mai zum mittlerweile 4. Hamburger Datenschutzforum ein. Die jährliche Veranstaltung stand in diesem Jahr ganz im Zeichen des Data Acts. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Thomas Fuchs, als auch die weiteren Referenten, Dr. Andreas Sattler (Karlsruher Institut für Technologie) und Prof. […]
Blockchain & Datenschutz: Was die neuen EDSA-Leitlinien bedeuten
Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien veröffentlicht, die Organisationen dabei unterstützen sollen, die Datenschutz-Grundverordnung (DSGVO) bei der Nutzung von Blockchain-Technologien einzuhalten. Eine Blockchain ist ein digitales, dezentrales System, das Transaktionen oder Daten sicher, transparent und unveränderbar speichert. Sie wurde vor allem bekannt durch Kryptowährungen wie Bitcoin, hat aber noch viele weitere Einsatzmöglichkeiten. Im Kern […]
Schweiz: Leitfaden des EDÖB zur Meldung von Datensicherheitsverletzungen
Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das schweizerische Datenschutzgesetz (DSG) regeln den Umgang mit Verletzungen des Schutzes personenbezogener Daten (ugs. Datenpanne) bzw. Datensicherheitsverletzungen, wie es in der Schweiz genannt wird. Beide Regelwerke definieren, was unter einer Datenpanne zu verstehen ist und unter welchen grundsätzlichen Voraussetzungen ein entsprechender Vorfall zu melden ist. Der Gesetzeswortlaut ist jeweils […]
HmbBfDI zu Meldepflichten bei Festplattendiebstahl in Arztpraxen
In dem vor kurzem vorgestellten Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wird ein interessanter und für viele Unternehmen vermutlich sehr relevanter Fall zum Umgang mit Datenschutzverletzungen besprochen. Wie die Aufsichtsbehörde mitteilt, wurden in zwei Arztpraxen, die zum selben Träger gehören, jeweils Festplatten mit Daten von Patient:innen gestohlen. Dabei soll der Täter die […]
Was hat die Kehrwoche mit Datenschutz zu tun?
Jeder, der einmal in Schwaben gewohnt hat, kennt das Phänomen: die Kehrwoche. Es handelt sich hierbei laut Wikipedia um „…die geregelte Reinigung gemeinschaftlich benutzter Bereiche in Einfamilien- und Mehrparteienwohnhäusern und von Flächen wie Hauszugängen, Vorplätzen und Gehwegen und Straßen im Gebiet des ehemaligen Württemberg.“ Auch heute findet man in Mietshäusern teilweise noch das typische Schild mit […]
Tratsch über Beschäftigte – ein DSGVO-Verstoß?
Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) schildert in ihrem Tätigkeitsbericht Datenschutz 2024 (S. 45-48) häufige Beschwerden aufgrund mündlicher Äußerungen im Beschäftigungskontext. Dies betraf in den ihr vorliegenden Fällen bspw. Aussagen über Gründe (fristloser) Kündigung oder zu ärztlichen Diagnosen bei Arbeitsunfähigkeit. Dabei stellt sich die Frage, ob/wann der Anwendungsbereich der DSGVO eröffnet ist, wenn über einzelne […]
Beschäftigte bei IT-Notfällen privat kontaktieren?
Stellen Sie sich folgende Situation vor: Sie wachen morgens, bevor Sie Ihren Arbeitstag im Home Office starten wollen, durch das Klingeln Ihres Privathandys auf. Nachdem Sie den Anruf entgegennehmen, werden Sie von Ihrem Vorgesetzten darüber informiert, dass die gesamte IT Ihres Unternehmens aufgrund eines Cyberangriffs lahmgelegt ist. Nach Beendigung des Gesprächs fragen Sie sich plötzlich, […]
Verzicht auf Auskunftsanspruch
Ansprüche aus der Datenschutz-Grundverordnung (DSGVO) können verfallen (wir berichteten). Doch können datenschutzrechtliche Ansprüche auch erlöschen? Mit diesem Thema hat sich das Bayerische Verwaltungsgericht (VG) Ansbach befasst. Mit Urteil vom 03.05.2024 hat das Gericht entschieden, dass ein datenschutzrechtlicher Auskunftsanspruch durch Abschluss eines außergerichtlichen arbeitsrechtlichen Vergleiches erlöschen kann (VG Ansbach, Urteil vom 03.05.2024 – AN K 21.00653, […]