Heute möchten wir aufgrund der Relevanz für die Beratungspraxis näher auf einen Fall eingehen, über den wir bereits in einem englischsprachigen Beitrag berichteten. Die belgische Datenschutzaufsichtsbehörde hat sich kürzlich mit zwei häufig auftretenden Fragen beschäftigt (Entscheidung 64/2025 vom 01.04.2025, abrufbar hier): Wann ist ein Beschäftigter für sein Handeln selbst verantwortlich und wem obliegt in diesen […]
Mai 2025
DSGVO – information privacy standard – Kapitel P.7 – Datenverarbeitung außerhalb der EU
Kürzlich haben wir die Kriterien für das Kapitel 6 – Datenschutzmanagement – des DSGVO – information privacy standard erklärt. Nun folgt Kapitel 7 dieser Blogreihe: Datenverarbeitung außerhalb der EU (P.7.1) und Vertreter innerhalb der EU (P.7.2). Datenverarbeitung außerhalb der EU Zunächst einmal bescheinigt ein Zertifikat nach dem DSGVO – information privacy standard NICHT die Rechtmäßigkeit […]
Training von Meta AI mit Nutzerdaten hat begonnen – Eilverfahren vor Gericht erfolglos
Zu der Frage, ob Meta ohne Einwilligung der User Nutzerdaten auf Facebook und Instagram für das Training ihrer KI-Modelle verwenden darf, gab es in der letzten Woche viele neue Entwicklungen. Über den bisherigen Verlauf haben wir in diesem Blogbeitrag berichtet. Irische Aufsichtsbehörde Am 21.05.2025 veröffentlichte die für Meta in der EU federführend zuständige irische Aufsichtsbehörde […]
Bewerbungsverfahren: Wo beginnt die Grenze der unzulässigen Fragen?
Im Rahmen eines Bewerbungsverfahrens ist die Angabe bestimmter personenbezogener Daten erforderlich. Hierbei stellt sich regelmäßig die Frage, welche Informationen der potenzielle Arbeitgeber verlangen darf und wo die Grenze zur Unzulässigkeit überschritten wird. Darf er etwa Angaben zum Privatleben des Bewerbenden oder dessen Gesundheit, Sexualität, politischer Einstellung abfragen – ggf. unter Heranziehung einer Einwilligung des Bewerbers? […]
Cybersecurity durch Regulierung – der Cyber Resilience Act im Überblick
Die EU hat am 10.10.2024 den Cyber Resilience Act (CRA) – Verordnung (EU) 2024/2847 – verabschiedet, um Cyberangriffe auf Produkte mit digitalen Komponenten zu bekämpfen. Die Verordnung gilt direkt in allen EU-Mitgliedstaaten und betrifft nicht die internen Prozesse, sondern die digitalen Produkte, die das Unternehmen verlassen. Der CRA setzt verbindliche Cybersicherheitsstandards, die die Sicherheit dieser […]
OLG Hamburg bestätigt: Gastbestelloption im Online-Handel ist nicht immer Pflicht
Beim Online-Shopping soll alles möglichst schnell und bequem ablaufen. Insbesondere, wenn es sich um eine einmalige Bestellung bei einem Versandhändler handelt. In diesen Fällen ist es besonders ärgerlich, wenn man gezwungen wird im Rahmen der Bestellung eine vollständige Registrierung durchzuführen und keine Möglichkeit besteht, als Gast zu bestellen. Doch verstößt dies neben dem Groll über […]
DSGVO – information privacy standard – Kapitel P.6 – Anforderungen, Umsetzung und Prüfungsschwerpunkte
Wir setzen hiermit unsere Blogreihe zur DSGVO Zertifizierung nach dem „DSGVO – information privacy standard“ fort. Heute widmen wir uns dem Kapitel P.6 – Datenschutz-Management. Ein funktionierendes Datenschutz-Managementsystem (DSMS) ist für jede Organisation, die personenbezogene Daten verarbeitet, eine unverzichtbare Grundlage für die Einhaltung der DSGVO. Es dient nicht nur als Beleg für Rechtskonformität gegenüber Aufsichtsbehörden […]
ISO/IEC 27001 vs. NIST und SOC 2®: Ein Vergleich
In einer zunehmend digitalisierten Welt hat die Informationssicherheit eine immer höhere Relevanz. Unternehmen sind gefordert, ihre Daten zu schützen und gleichzeitig Anforderungen von Kunden, Partnern und Regulierungsbehörden zu erfüllen. In diesem Zusammenhang sind Standards wie ISO/IEC 27001, die Frameworks des NISTs (National Institute of Standards and Technology) und SOC 2® (Service Organization Control 2) von […]
Strategie des Europäischen Datenschutzausschusses 2024 – 2027
In der Welt des Datenschutzes wird den meisten der Europäische Datenschutzausschuss (EDSA) ein Begriff sein. Gerade durch die Erstellung von Leitlinien oder Empfehlungen werden Dokumente des EDSA oftmals als Hilfestellung bei datenschutzrechtlichen Fragestellungen verwendet. Aber nicht nur die Erstellung von Leitlinien oder Empfehlungen sind Aufgabe und Ziel des EDSA. Der EDSA hat 2024 eine Strategie […]
4. Hamburger Datenschutzforum: Data Act als neue Herausforderung für den Datenschutz?
Die Hamburger Datenschutzgesellschaft e.V. (HDG) und die Hamburger Handelskammer luden am 15. Mai zum mittlerweile 4. Hamburger Datenschutzforum ein. Die jährliche Veranstaltung stand in diesem Jahr ganz im Zeichen des Data Acts. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Thomas Fuchs, als auch die weiteren Referenten, Dr. Andreas Sattler (Karlsruher Institut für Technologie) und Prof. […]
Die Rechte des Verantwortlichen bei Unterauftragsverarbeitern: Vertrauen ist gut, Kontrolle ist besser?
Die Verantwortung für den Datenschutz ist eine zentrale Herausforderung für Unternehmen, besonders wenn es darum geht, externe Dienstleister und Unterauftragsverarbeiter einzubinden. Doch wie weit reichen die Kontrollpflichten des Auftraggebers? Muss er alle Unternehmen in der Auftragskette überwachen, oder reicht eine Kontrolle der direkten Vertragspartner? In einer aktuellen Stellungnahme hat der Europäische Datenschutzausschuss (EDSA) Klarheit geschaffen […]
Blockchain & Datenschutz: Was die neuen EDSA-Leitlinien bedeuten
Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien veröffentlicht, die Organisationen dabei unterstützen sollen, die Datenschutz-Grundverordnung (DSGVO) bei der Nutzung von Blockchain-Technologien einzuhalten. Eine Blockchain ist ein digitales, dezentrales System, das Transaktionen oder Daten sicher, transparent und unveränderbar speichert. Sie wurde vor allem bekannt durch Kryptowährungen wie Bitcoin, hat aber noch viele weitere Einsatzmöglichkeiten. Im Kern […]
DSGVO – information privacy standard – Kapitel P.5 – Technisch-organisatorische Maßnahmen
Willkommen zu einem weiteren Teil unserer Blogreihe zur DSGVO-Zertifizierung nach dem „DSGVO – information privacy standard“. In diesem Beitrag widmen wir uns dem Kapitel P.5 – Technisch-organisatorische Maßnahmen – einem Kernbestandteil des Datenschutzes in der praktischen Umsetzung. Technische und organisatorische Maßnahmen (kurz: TOM) sind mehr als nur Sicherheitsvorkehrungen – sie sind der zentrale Hebel, um […]
Schweiz: Leitfaden des EDÖB zur Meldung von Datensicherheitsverletzungen
Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das schweizerische Datenschutzgesetz (DSG) regeln den Umgang mit Verletzungen des Schutzes personenbezogener Daten (ugs. Datenpanne) bzw. Datensicherheitsverletzungen, wie es in der Schweiz genannt wird. Beide Regelwerke definieren, was unter einer Datenpanne zu verstehen ist und unter welchen grundsätzlichen Voraussetzungen ein entsprechender Vorfall zu melden ist. Der Gesetzeswortlaut ist jeweils […]
DSGVO-Verstoß: BAG erkennt Schadensersatzanspruch des Beschäftigten an
Das Bundesarbeitsgericht (BAG) hat jüngst in einem Urteil (BAG-Urteil von 08.05.2025, Az. 8 AZR 209/21) entschieden, dass ein Arbeitgeber dem betroffenen Mitarbeitenden gegenüber schadensersatzpflichtig sein kann, wenn er sensible Daten mit einer anderen Gesellschaft innerhalb des Konzerns ohne ausreichende Rechtsgrundlage teilt. Der EuGH äußerte sich außerdem zu den Vorlagefragen des BAG, welche insbesondere die Auslegung […]
1 2