The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) have published their Joint Opinion (the Joint Opinion) on the European Commission’s Digital Omnibus Proposal (the Proposal). Following our earlier analysis (Part 1) of the Proposal itself, this article examines how key elements of the reform are viewed by these supervisory bodies. […]
Februar 2026
Auskunftspflichten gegenüber der Aufsichtsbehörde
Juristische Personen können die Auskunft nicht verweigern – jedenfalls nicht mit dem Verweis auf ein Auskunftsverweigerungsrecht. So hat es das Verwaltungsgericht (VG) Berlin in seiner kürzlich veröffentlichten Entscheidung (Urteil vom 09.10.2025, Az.: VG 1 K 607/22) mitgeteilt. Das Berliner Verwaltungsgericht stärkt somit die Befugnisse der Aufsichtsbehörden. Das Urteil ist jedoch noch nicht rechtskräftig. Was dürfen […]
Ransomware-Attacken: Die aktuelle Bedrohungslage und der Einfluss der Künstlichen Intelligenz
Die Anzahl der Ransomware-Angriffe hat im vergangenen Jahr einen neuen Höchststand erreicht. Die Bedrohungslage dürfte sich auch im Jahr 2026 weiter zuspitzen und aufgrund des zunehmenden Einsatzes Künstlicher Intelligenz (KI) zugleich an Komplexität gewinnen. Die besonders perfide Form eines Cyberangriffs, bei dem Daten verschlüsselt und Lösegeld erpresst wird, betrifft immer wieder Unternehmen, Behörden, Kanzleien und […]
Was der BGH alles unter „Vertrag“ versteht
Die Sportvereine in Deutschland sind so beliebt wie nie zuvor. Was oft wie eine Idylle wirkt, auch hier kann es zu Streitigkeiten kommen, die korrekt vor Gericht ausgetragen werden wollen. Und im folgenden Fall hatte letztlich sogar der Bundesgerichtshof (BGH) zu entscheiden. Widerstand gegen Grundstücksverkauf Im Jahr 2018 veräußerte ein eingetragener Sportverein mehrere Grundstücksflächen an […]
No Account, No Purchase? EDPB Pushes Back on Mandatory Registration
Requiring users to create an account in order to complete an online purchase is a widespread practice in e-commerce. Businesses commonly justify this requirement by reference to operational efficiency, customer convenience, or the development of long-term commercial strategies. With its Recommendations 2/2025, the European Data Protection Board (EDPB) addresses this practice directly and clarifies the […]
Dienstleister ärgere dich nicht – Dienstleister-Audits
Heute werfen wir einen Blick auf Dienstleister-Audits und worauf in diesem Zusammenhang zu achten ist. Spielregeln Laut Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) arbeitet ein Verantwortlicher nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Um dieser Pflicht nachkommen zu können, empfehlen wir in der Beratungspraxis – neben […]
Unzulässige E-Mail-Werbung – trotz (indirektem) LinkedIn-Kontakt?
Die Zusendung von Werbung per E-Mail ist grundsätzlich nur mit vorheriger, ausdrücklicher Einwilligung zulässig. Diese Rechtslage hierzulande dürfte mittlerweile allseits bekannt sein. Unternehmen sollten dementsprechend ihr Marketing bzw. ihren Vertrieb auf ein dokumentiertes Einwilligungsmanagement abstellen und transparent über die Datenverarbeitung informieren. Nur in besonderen Ausnahmefällen kann hiervon abgewichen werden, wie z. B. bei dem umstrittenen […]
Reading Between the Lines of the Italian DPA’s 2026 Inspection Plan
With its Resolution of 30 December 2025, the Italian Data Protection Authority (Garante per la protezione dei dati personali) published its inspection plan for the period January to July 2026. The plan sets out the Authority’s inspection focus for the first semester of the year and provides for at least 40 targeted inspections across the […]
Der Art. 42 DSGVO – information privacy standard – Einordnung für die Datenschutzberatung
Seit März 2025 führt der Europäische Datenschutzausschuss (EDSA) in seinem offiziellen Verzeichnis der Zertifizierungsmechanismen („Register of certification mechanisms, seals and marks“) einen weiteren Standard nach Art. 42 DSGVO: den „DSGVO – information privacy standard“. Der zugehörige Kriterienkatalog ermöglicht eine Zertifizierung nach Art. 42 DSGVO sowohl für Verantwortliche als auch für Auftragsverarbeiter. Anwendungsbereich und Ausrichtung des […]
Mitarbeiterexzess: Unzulässige Videoaufnahme einer Patientin durch Pflegepersonal
Mitarbeiterexzesse sind in der Praxis nicht unüblich, jedoch gestaltet sich die rechtliche Einordnung oft als schwierig. Dies liegt daran, dass sich die Handlungen nicht selten im Graubereich zwischen privatem Fehlverhalten und dienstlichem Kontext bewegen und detaillierte Abgrenzungen in der datenschutzrechtlichen Bewertung notwendig machen. In der Vergangenheit berichteten wir bereits über Fälle, bei denen Mitarbeitende betrieblich […]
Das Zauberwort heißt „berechtigtes Interesse“
Wenn nichts mehr hilft, dann hilft vielleicht das „berechtigte Interesse“. So klingt es manchmal in der Datenschutzberatung, wenn man nach Rechtsgrundlagen für eine Datenverarbeitung sucht. Denn, dies sei vorausgeschickt, egal, was Unternehmen und Behörden mit personenbezogenen Daten anstellen wollen, sie benötigen immer eine Rechtsgrundlage. Da kann es kreativ zugehen, wie einige Fälle zeigen. Notnagel „berechtigtes […]