Ob Kleidung, Elektronik oder Haushaltswaren – Online-Shopping gehört für viele längst zum Alltag. Doch so bequem der digitale Einkauf auch ist: Mit jedem Klick geben wir persönliche Daten preis und vertrauen darauf, dass der Anbieter seriös ist. Leider ist das nicht immer der Fall. Fake-Shops, undurchsichtige AGB oder mangelnde Sicherheitsvorkehrungen können schnell teuer werden. In […]
Oktober 2025
Referentenentwurf zum Data Act-Durchführungsgesetz im Kabinett beschlossen
Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“, der Data Act, gilt seit wenigen Wochen (wir berichteten), ist hierzulande allerdings noch ein „zahnloser Tiger“. Denn das deutsche Durchführungsgesetz zum Data Act wurde noch nicht final besprochen und verabschiedet. Bis vor Kurzem existierte gar nur ein Referentenentwurf von Anfang Februar 2025 […]
Das Fahreignungsregister: Datenschutz im Fokus
Das Fahreignungsregister (FAER) – häufig als „Verkehrssünderkartei“ bezeichnet – enthält Informationen zu Verkehrsverstößen, Punkten in Flensburg und Entziehungen der Fahrerlaubnis. Diese Daten sind schützenswert, weil sie Auskunft über das Verhalten einzelner Fahrer*innen geben und Grundlage für Eingriffe in ihre Rechte sein können. Der Umgang mit dem Register ist deshalb eine Frage des Datenschutzes, nicht bloß […]
CNIL Fines Samaritaine €100,000 for Hidden Cameras: A Legal Analysis
On 18 September 2025, the French Data Protection Authority (CNIL) issued Deliberation SAN-2025-008, imposing a €100,000 fine on Samaritaine SAS for clandestinely installing surveillance cameras in employee areas. In August 2023, in response to a rise in stockroom thefts, the company installed five hidden cameras disguised as smoke detectors. The devices also recorded audio. Within […]
Automated Credit Scoring Under Scrutiny in Europe
The CJEU’s SCHUFA judgement (C-634/21) in 2023 clarified that producing and transmitting a credit score can itself amount to an automated decision under Article 22 GDPR where the score is determinative for contract outcomes. This ruling has now translated into concrete enforcement. In 2025, both the Austrian and Hamburg DPAs issued decisions that apply these […]
Einsichtsrecht statt Kopie: LAG München konkretisiert Auskunftsanspruch bei Compliance-Untersuchungen
Das Landesarbeitsgericht München hat mit Urteil vom 12. Juni 2025 (Az. 2 SLa 70/25) entschieden, dass Arbeitnehmerinnen und Arbeitnehmer nach einer internen Compliance-Untersuchung keinen Anspruch auf Herausgabe einer vollständigen Kopie des Untersuchungsberichts nach Art. 15 DSGVO haben. Stattdessen besteht lediglich ein Einsichtsrecht in den Bericht, soweit dieser personenbezogene Daten enthält. Das Urteil schafft Klarheit im […]
In Teilen unzulässige Videoüberwachung führt zu Millionenbußgeld bei IKEA Österreich
Mit dem Urteil vom 25.07.2025 bestätigte das Bundesverwaltungsgericht in Österreich (BVwG) die Strafe der österreichischen Datenschutzbehörde (DSB) vom 16.08.2024 in Höhe von 1,5 Millionen Euro gegenüber IKEA Österreich. Das BVwG stellte in seinem Urteil nun fest, dass IKEA im Rahmen der eingesetzten Videoüberwachung gegen Art. 5 Abs.1 lit. a und c DSGVO (Grundsätze der Rechtmäßigkeit […]
Interne und externe Audits im Mock-Audit – Vorbereitung auf den Ernstfall
Der Status eines zertifizierten Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 wird erst durch ein externes Audit erreicht, das von unabhängigen Auditoren einer akkreditierten Zertifizierungsstelle durchgeführt wird. Zur Aufrechterhaltung der Zertifizierung ist dieses Audit jährlich zu wiederholen, wobei der Umfang der Überprüfung variiert. Zum Bestehen des externen Audits muss wiederum im Vorfeld ein internes Audit zu Erfüllung […]
Die sog. „Chatkontrolle“: Aktueller Stand und datenschutzrechtliche Bedenken
„Anlasslose Chatkontrolle muss in einem Rechtsstaat tabu sein.“, so äußerte sich Stefanie Hubig, Bundesministerin der Justiz und für Verbraucherschutz, zuletzt zur von der Europäischen Union (EU) diskutierten Chatkontrolle. Die Frage nach der Einführung der Chatkontrolle ist nach dem vorläufigen „Nein“ Deutschlands vom Tisch – jedenfalls vorerst. Das Gesetzesvorhaben bleibt aber weiterhin aktuell, denn in Zukunft […]
33. Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationssicherheit Saarland – Zahlen und Fakten
Nach Angaben der Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) des Saarlandes stellen die Tätigkeitsberichte der Datenschutzaufsichtsbehörden eine zentrale Quelle zur Informationsgewinnung über aktuelle Entwicklungen im Datenschutzrecht dar. Die wesentlichen datenschutzrechtlichen Fragestellungen und Schwerpunkte werden in diesen Berichten systematisch und kapitelweise aufgearbeitet und analysiert. Um jedoch ein umfassendes Gesamtbild zu erhalten, werden ergänzend auch quantitative Daten […]
15.000 € Schadensersatz für unzulässige Videoüberwachung eines Arbeitnehmers
Mit Urteil vom 28.05.2025 (18 SLa 959/24) hat das Landesarbeitsgericht Hamm einem Arbeitnehmer Schadensersatz in Höhe von 15.000 Euro zugesprochen, der über einen Zeitraum von 22 Monaten an seinem Arbeitsplatz einer unzulässigen Videoüberwachung ausgesetzt war. Das LAG Hamm hat damit ein vorinstanzliches Urteil des ArbG Dortmund (Urteil vom 13.09.2024 – 3 Ca 1093/24) bestätigt. Das […]
DSGVO-Auskunftsanfragen als Geschäftsmodell?
Wenn man eine Brille benötigt oder ein neues Modell haben möchte, ist der Newsletter eines Optikers eine gute Informationsquelle. Vielleicht hatte ein Abonnent neben der Information auch noch etwas anderes im Sinn. Dies vermutete der Optiker selbst. Wie er zu dieser Vermutung gekommen ist und wie dieser Fall zum EuGH gelangt ist (Rechtssache C‑526/24) , […]
EuGH-Urteil zur Anonymität von Daten und die Folgen für die Praxis
Mit Urteil vom 4. September 2025 hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung zur Anonymität und Personenbeziehbarkeit von Daten getroffen. Das Urteil beendet einen jahrelangen Streit über die Auslegung dieser zentralen Begriffe der Datenschutz-Grundverordnung (DSGVO) und hat erhebliche praktische Auswirkungen auf Forschung, Datenanalyse und insbesondere auf die Entwicklung von Künstlicher Intelligenz (KI). Siehe hierzu […]
Datenschutzkonferenz veröffentlicht Anwendungshinweise zu Datenübermittlungen für medizinische Forschung in Drittländer
Die internationale Zusammenarbeit in der medizinischen Forschung gewinnt zunehmend an Bedeutung, bringt jedoch besondere datenschutzrechtliche Herausforderungen mit sich und stellt Forschende sowie Forschungseinrichtungen auf die Probe. Sobald dabei personenbezogene Daten verarbeitet oder übermittelt werden, müssen die datenschutzrechtlichen Anforderungen beachtet werden. Besonders bei Datenübermittlungen in sogenannte Drittländer ist sicherzustellen, dass das in der EU gewährte Datenschutzniveau […]
Datenschutz und Betriebsrat – Spannungsverhältnis zwischen Mitwirkungspflicht und Schweigepflicht
Betriebsräte sind die Interessenvertreter von Beschäftigten und haben dabei häufig mit sensiblen personenbezogenen Daten zu tun. Mitglieder des Betriebsrates unterliegen zwar einer Verschwiegenheitspflicht, insbesondere in Bezug auf Mitarbeiterdaten, die ihnen aufgrund ihrer Tätigkeit bekannt werden. Dennoch sind sie in datenschutzrechtliche Prozesse eingebunden und können sich nicht pauschal auf ihre Sonderstellung berufen. Kommt es etwa zu […]