Wie erhält man von Behörden und Gerichten Informationen über andere Personen? Reicht dafür ein Anruf aus? Und welche Rolle spielt die DSGVO dabei? Mit diesen Fragen befasste sich der Europäische Gerichtshof (EuGH), nachdem ein finnisches Unternehmen mündlich Auskunft über mögliche Vorstrafen einer natürlichen Person erhalten wollte (EuGH-Urteil vom 07.03.2024 – C-740/22). Fällt das gesprochene Wort […]

Belgian DPA Clarifies Company Liability for GDPR Breaches by Rogue Employees
Are companies always responsible if their employees cause a data breach under the General Data Protection Regulation (GDPR)? According to a recent decision by the Belgian Data Protection Authority (DPA), the answer appears to be yes, or at least in most cases. The Case In this case, a manager at a hospital accessed an employee’s […]

DSGVO – information privacy standard – Kapitel P.3 – Pflichten des Kunden
Unsere Blogreihe rund um den Kriterienkatalog des DSGVO – information privacy standard geht in die nächste Runde. In unserem letzten Beitrag haben wir uns mit dem Kapitel P.2 – Grundsätze – befasst. Heute werfen wir einen Blick auf das nächste Kapitel: P.3 – Pflichten des Kunden. Das Kapitel P.3 – Pflichten des Kunden Das Kapitel […]

Neues EKD-Datenschutzgesetz gilt ab 1. Mai
Alles neu macht der Mai. So auch im Datenschutzrecht, zumindest in dem der Evangelischen Kirche in Deutschland. Zum 01.05.2025 tritt das bei der EKD-Synode in Würzburg (10. bis. 13.11.2024) beschlossene Kirchengesetz zur 3. Änderung des EKD-Datenschutzgesetzes (DSG-EKD) in Kraft. In unserem Blogbeitrag vom 28.11.2024 berichteten wir bereits umfassend über die bevorstehenden Änderungen. Die wesentlichen Neuerungen […]

Müssen Bewerbungen verschlüsselt entgegengenommen werden?
Möchte man sich bei einem Unternehmen auf eine Stellenanzeige oder initiativ bewerben, kann dies häufig über ein sog. Bewerberportal auf der jeweiligen Website erfolgen. Dort werden dann die Bewerbungsunterlagen hochgeladen. Wenn ein solches Bewerberportal jedoch nicht im Einsatz ist, wird in Stellenanzeigen oftmals um ein Einreichen der Bewerbungsunterlagen per E-Mail gebeten. In meiner Praxis als […]

Tratsch über Beschäftigte – ein DSGVO-Verstoß?
Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) schildert in ihrem Tätigkeitsbericht Datenschutz 2024 (S. 45-48) häufige Beschwerden aufgrund mündlicher Äußerungen im Beschäftigungskontext. Dies betraf in den ihr vorliegenden Fällen bspw. Aussagen über Gründe (fristloser) Kündigung oder zu ärztlichen Diagnosen bei Arbeitsunfähigkeit. Dabei stellt sich die Frage, ob/wann der Anwendungsbereich der DSGVO eröffnet ist, wenn über einzelne […]
Die Datenschutzgrundsätze im Kriterienkatalog des DSGVO – information privacy standard
In unserer Blogreihe zur DSGVO-Zertifizierung beleuchten wir heute das zweite Kapitel des Kriterienkatalogs– die Grundsätze. Diese bilden das Fundament für eine datenschutzkonforme Verarbeitung. Die Anforderungen greifen zentrale Prinzipien der DSGVO auf, die für jede Verarbeitungstätigkeit gelten. Das Kapitel gliedert sich in sieben Kriterien: P.2.1 Privacy-by-Design P.2.2 Privacy-by-Default P.2.3 Zweckbindung P.2.4 Datenminimierung P.2.5 Richtigkeit P.2.6 Speicherbegrenzung […]
Daten gelöscht, Anspruch besteht: Auskunftsanspruch erlischt nicht mit dem Papierkorb
Wie bereits in der Vergangenheit besprochen (wir berichteten), kann eine unvollständige Beantwortung einer geforderten Auskunft über die Informationen zur Datenverarbeitung zu Schadensersatzansprüchen führen. Nicht besser wird es, wenn man sie unterlässt oder Daten wegen der Auskunftsanfrage löscht. Solch einen Fall hatte nun das Arbeitsgericht Düsseldorf (Urteil vom 04.12.2024 – 8 Ca 3409/24) zu entscheiden. Daten […]
Security Information and Event Management Systeme und die Auswirkungen auf den Datenschutz
Ein Security Information and Event Management System (kurz „SIEM“-System) ist vereinfacht gesagt ein zentrales Sicherheitsverwaltungstool, welches in der Regel mit Maschinendaten (konkret: Logfiles) gefüllt werden kann, diese analysiert, aufbereitet und den Verantwortlichen durch Berichte über bestehende Events (Sicherheitsvorfälle) alarmiert. Wofür werden SIEM-Systeme eingesetzt? Ein solches SIEM-System dient der zentralisierten Überwachung. D.h. sämtliche Log-Daten aus beispielsweise […]
Google Tag Manager: Automatisches Laden des Google Tags ab April 2025 – Was bedeutet das für den Datenschutz?
Am 10. März 2025 hat Google eine wichtige Änderung angekündigt: Ab dem 10. April 2025 wird das Google Tag in Tag Manager-Containern automatisch geladen – unabhängig von einer Nutzerinteraktion. Ein Tag Manager-Container ist ein zentrales System, das alle einzelnen Tags bündelt und automatisch steuert. Tags sind kleine Code-Snippets, die auf Websites eingebunden werden, um bestimmte […]
Geltendmachung von Betroffenenrechten in Vertretung
Im Rahmen der Geltendmachung von Betroffenenrechten kommt es häufig vor, dass Dritte in Vertretung der betroffenen Person datenschutzrechtliche Ansprüche in dessen Namen geltend machen wie bspw. durch Rechtsanwälte. In diesem Zusammenhang ist es wichtig zu wissen, auf was Verantwortliche achten müssen. Die Vollmacht Generell sind die Anforderungen an eine Vollmacht kein datenschutzrechtliches, sondern ein zivilrechtliches […]
Datenschutzkoordinatoren im Unternehmen
Die Aufgaben eines Datenschutzbeauftragten sind vielfältig und ebenso sind es seine Ansprechpartner innerhalb und außerhalb des Unternehmens. Damit ein Datenschutzbeauftragter seine Aufgaben und Verpflichtungen innerhalb des Unternehmens gut wahrnehmen kann, sollte er auf feste und zuverlässige Ansprechpartner zurückgreifen können. Als Einzelkämpfer steht der Datenschutzbeauftragte nicht selten auf verlorenem Posten und wird seine Aufgaben nur bedingt […]
Beschäftigte bei IT-Notfällen privat kontaktieren?
Stellen Sie sich folgende Situation vor: Sie wachen morgens, bevor Sie Ihren Arbeitstag im Home Office starten wollen, durch das Klingeln Ihres Privathandys auf. Nachdem Sie den Anruf entgegennehmen, werden Sie von Ihrem Vorgesetzten darüber informiert, dass die gesamte IT Ihres Unternehmens aufgrund eines Cyberangriffs lahmgelegt ist. Nach Beendigung des Gesprächs fragen Sie sich plötzlich, […]
Herzlich willkommen, DSGVO – information privacy standard!
Endlich ist er da: der DSGVO-Zertifizierungsstandard DSGVO – information privacy standard. Mit DSGVO – information privacy standard startet ein völlig neues Zertifizierungsverfahren. Mit dem Kriterienkatalog zur Zertifizierung IT-gestützter Verarbeitungen personenbezogener Daten gem. Art. 42 DSGVO (DSGVO – information privacy standard) ist der erste deutsche Kriterienkatalog für eine DSGVO Zertifizierung abgenommen, mit dem sowohl Datenverarbeitungen von […]
Identitätsdiebstahl – Anspruch der Opfer auf Datenlöschung?
Identitätsdiebstahl bezeichnet die unbefugte Nutzung personenbezogener Daten des Opfers, um sich als diese Person auszugeben und hierdurch (finanzielle) Vorteile zu erzielen. Dabei nimmt der Identitätsdiebstahl in der heutigen Zeit unterschiedliche Formen an und reicht von der unbefugten Nutzung von Bank- und Kreditkartennummern bis hin zum Abschluss neuer Verträge im Namen des Opfers. Betroffene merken oft […]