The Spanish Data Protection Authority (AEPD) recently imposed a €950,000 fine on a company offering digital identity and age verification services that rely on facial analysis technology. The decision is particularly relevant for organisations deploying facial analysis technologies, including AI-based age estimation and identity verification systems that generate biometric templates, as it illustrates how regulators […]
Wenn KI mithört: Was Unternehmen bei der Transkription von Gesprächen beachten müssen
Die automatische Transkription von Telefongesprächen und Videokonferenzen durch KI-Systeme verspricht Effizienzgewinne im Berufsalltag, bspw. auch im Kundenservice. Doch die rechtlichen Anforderungen sind komplex und werden von Unternehmen oft unterschätzt. Im Folgenden erhalten Sie einen Überblick über die wesentlichen datenschutzrechtlichen Rahmenbedingungen sowie die Risiken, die bei der praktischen Umsetzung zu berücksichtigen sind. Live-Transkription zur Zusammenfassung: Ein […]
KRITIS-DachG ist in Kraft getreten
Das „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ wurde am 16.03.2026 im Bundesgesetzblatt verkündet und tritt somit heute in Kraft. Der erste Artikel enthält das neue „Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITISDachG)“; die weiteren Artikel beinhalten Änderungen an bestehenden Gesetzen. Wir werfen einen […]
eIDAS 2.0: Welche Identifizierungsmethoden sind zulässig – und was steckt hinter den „anderen Identifizierungsmethoden“?
Mit der eIDAS 2.0 – also der aktuellen Fassung der eIDAS-Verordnung 910/2014– schafft der europäische Gesetzgeber die Grundlage für vertrauenswürdige digitale Identitäten und qualifizierte Vertrauensdienste in der EU. Wie muss eine Identifizierung erfolgen, damit sie den Anforderungen an eIDAS entspricht? Die eIDAS-Verordnung nennt in Art. 24 Abs. 1a vier mögliche Arten zur Identifizierung einer Person: […]
Italian DPA Orders Amazon Entity to Stop Unlawful Employee Data Processing
The Italian Data Protection Authority (Garante per la protezione dei dati personali) has issued an urgent order with immediate effect requiring Amazon Italia Logistica S.r.l. to stop processing personal data relating to more than 1,800 employees at one of its logistics facilities. The investigation revealed multiple violations from a data protection perspective. In particular, the […]
Pflichten des Auftragsverarbeiters
Wer als Dienstleister weisungsgebunden personenbezogene Daten eines Auftraggebers bzw. Verantwortlichen verarbeitet (z. B. Cloud-Dienste, Newsletter-Tools, externe Lohnbuchhaltung oder IT-Wartung), wird datenschutzrechtlich als Auftragsverarbeiter nach Art. 4 Nr. 12, Art. 28 DSGVO tätig. In diesen Fällen muss zwingend ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden – auch wenn dies für viele als lästiger Papierkram erscheint. Leidiges […]
Clean-Desk-Policy und Desksharing: Datenschutz und Ordnung im modernen Arbeitsumfeld
Die zunehmende Flexibilität in modernen Arbeitswelten, vom mobilen Arbeiten über immer mehr Homeoffice bis hin zu mehr Teil- und Gleitzeiten, stellt Unternehmen vor neue organisatorische und datenschutzrechtliche Herausforderungen. Zwei zentrale Bausteine, um diesen Anforderungen gerecht zu werden, sind das Desksharing-Modell und die Clean-Desk-Policy. Beide Konzepte greifen eng ineinander und dienen dazu, auch bei flexiblen Arbeitsplatzorganisation […]
Digital Accessibility and Data Protection: Insights from the Italian Data Protection Authority
Digital accessibility is becoming a central compliance topic across Europe. With the entry into application of the European Accessibility Act (Directive (EU) 2019/882, EAA), EU Member States must ensure that a wide range of digital products and services meet accessibility requirements so that people with disabilities can access them without barriers. These requirements apply to […]
eIDAS-Fernsignaturen
Die eIDAS 2.0 – gemeint ist die aktuell gültige Fassung der eIDAS-Verordnung 910/2014 – sieht in Art. 29a „Anforderungen an einen qualifizierten Dienst zur Verwaltung qualifizierter elektronischer Fernsignaturerstellungseinheiten“ vor. Was zunächst technisch klingt, betrifft einen zentralen Baustein der digitalen Transformation: die rechtsverbindliche elektronische Unterschrift. Denn qualifizierte Signaturen werden häufig nicht genutzt, weil das Handling mit […]
Niedersächsisches Psychisch-Kranken-Hilfe-Gesetz: Übermittlung von Gesundheitsdaten an die Polizei
„Menschen mit psychischen Erkrankungen dürfen nicht unter Generalverdacht gestellt werden“, betonte der niedersächsische Gesundheitsminister Andreas Philippi kürzlich in einer Pressemitteilung anlässlich der Novellierung des niedersächsischen Psychisch-Kranken-Hilfe-Gesetzes (im Folgenden NPsychKHG). Datenschutzrechtliche Bedenken bestehen auch nach der jüngsten Überarbeitung des Novellierungs-Entwurfs. Auslöser der Reform sind mehrere schwere Gewalttaten der Vergangenheit. Sie haben eine intensive Debatte darüber ausgelöst, […]
eIDAS-Vertrauensdiensteanbieter: Neue Klarheit durch den Implementing Act 2025/2530
Ein Artikel der eIDAS 2.0 – umgangssprachlich wird hiermit die aktuell gültige Fassung der eIDAS-Verordnung 910/2014 bezeichnet – gewinnt besonders an Bedeutung: Art. 24 „Anforderungen an qualifizierte Vertrauensdiensteanbieter“. Während die Verordnung selbst die Grundpflichten definiert, war lange offen, wie diese Anforderungen technisch und organisatorisch im Detail auszugestalten sind – und zwar europaweit einheitlich. Art. 24 […]
eIDAS-Implementing Acts: Warum die neuen Durchführungsrechtsakte für Vertrauensdienste wichtig sind
Die eIDAS-Verordnung sieht zu etlichen Anforderungen Konkretisierungen in Form von sog. Implementing Acts (Durchführungsrechtsakte) vor. Europäische Harmonisierung Durch diese Konkretisierungen sollen Vertrauensdienste in Europa stärker harmonisiert werden; bislang sorgten nationale Regelungen z.T. für eine Ungleichbehandlung. Diese Implementing Acts werden derzeit nach-und-nach veröffentlicht. Die neuen Implementing Acts sind keineswegs rein formale Ergänzungen. Sie können erhebliche Auswirkungen […]
Neuigkeiten zum Auskunftsrecht – Teil 2
Im zweiten Teil unserer Reihe zum „Recht auf Auskunft“ nach Art. 15 DSGVO wollen wir die derzeitigen Reformvorschläge der EU-Kommission (digitaler Omnibus) sowie einige aktuelle Urteile näher beleuchten. Digitaler Omnibus Über den digitalen Omnibus wird zurzeit kontrovers diskutiert. Nach Meinung einiger Rechtswissenschaftler*innen könnte gar ein Paradigmenwechsel im Datenschutzrecht bevorstehen. Auch beim Auskunftsrecht nach Art. 15 […]
Weiß der Chef, wo ich bin … und in welcher Stimmung?
„MS Teams kann jetzt Büroanwesenheit erfassen“ – so und ähnlich titelten einige Online-Magazine im Herbst 2025. Ende Januar kam dann der Hinweis auf eine Verschiebung der Einführung von Teams-Orts- und Bürozeiterfassung. Worum geht es? Microsoft wird nach derzeitigem Stand im April 2026 eine neue Funktion in Microsoft Teams einführen (vgl. Microsoft Roadmap ID 488800). Wenn […]
KDG und KDG-DVO: Novellierung vollzogen
Seit vergangenem Sonntag gelten für Einrichtungen der katholischen Kirche die novellierten Fassungen des KDG und der KDG-DVO. Nach unserem Kenntnisstand haben die Bischöfe aller 27 (Erz-Bistümer) die beschlossene Fassung des Verbandes der Diözesen Deutschlands rechtzeitig für ihren Zuständigkeitsbereich umgesetzt und im kirchlichen Amtsblatt verkündet. Die Bistümer, die als erstes die neuen Fassungen umsetzten, mussten zwischenzeitlich […]