datenschutz notizen | News-Blog der DSN GROUP

KI-Systeme im Krankenhaus – Betreiberpflichten und Haftungsfragen

Der Einsatz von Künstlicher Intelligenz (KI) schreitet in Krankenhäusern schnell voran. Mit der KI-Verordnung der Europäischen Union steigen jedoch auch die regulatorischen Anforderungen: Krankenhäuser werden rechtlich zu Betreibern von KI-Systemen und unterliegen damit zahlreichen Pflichten. Die Pflichten sind davon abhängig, ob es sich bei dem eingesetzten System um ein KI-System mit allgemeinem Verwendungszweck oder mit […]

Dr. Uwe Schläger | 24. März 2026 | Informationssicherheit, Künstliche Intelligenz – KI | bestimmte KI-Systeme, Betreiber von KI-Systemen, Gesundheitswesen, Haftung, Hochrisiko-KI-Systeme, KI-Systeme, KI-Systeme mit allgemeinem Verwendungszweck, Klassifizierung von KI-Systemen, Krankenhaus, Prüfschema, Verbotene KI-Systeme | 1 Kommentar

Eine Justitia-Figur steht auf lauter 50-Euro-Geldscheinen.

Wie der EuGH dem Geschäftsmodell DSGVO-Auskunft Grenzen setzt

Das Auskunftsrecht ist eines der wichtigsten Rechte, die Betroffene gegenüber Unternehmen geltend gemacht werden können. Zu diesem Thema hat nun der EuGH ein Urteil gefällt (19.03.2026 – C-526/24). Über die Vorgeschichte dieses Urteils und den Schlussantrag des Generalanwalts beim EuGH hatten wir bereits hier berichtet. Newsletteranmeldung, Auskunftsersuchen, Schadensersatz Kurz zusammengefasst ging es bei dem Fall […]

Olaf Rossow | 23. März 2026 | Allgemein | Auskunft, Auskunftsantrag, Brillen Rottler, C-526/24, Datenverarbeitung, DSGVO, EuGH, exzessiver Charakter, Kontrollverlust, Newsletter, Österreich, Rechtsmissbrauch, Schadensersatz, Schmerzensgeld | 1 Kommentar

Alles neu bei der ISO/IEC 27701 – oder doch nicht?

Die ISO/IEC 27701 – man beachte den feinen Unterschied zur ISO/IEC 27001 – ist der internationale Standard für ein Datenschutz-Managementsystem (DSMS). Mit der neuen Version ISO/IEC 27701:2025 (dt. Fassung 2026-02) gibt es auf den ersten Blick erhebliche Änderungen. Parallel dazu wurde auch die zugehörige Akkreditierungsnorm für Zertifizierungsstellen grundlegend überarbeitet (aus ISO/IEC 27006-2 wird 27706). Viele […]

Dr. Sönke Maseberg | 23. März 2026 | Allgemein | Datenschutz-Managementsystem, DSMS, Informationssicherheits-Managementsystem, ISMS, ISO/IEC 27701, Zertifizierung

Kletterkarabiner und Abseilacht auf einem Tisch

LoIP und LoA unter eIDAS: Zwei Begriffe, die man auseinanderhalten sollte

Im Zuge der eIDAS-Implementing-Acts tauchen zwei Abkürzungen immer häufiger auf: LoA und LoIP. Sie stehen für: Level of Assurance (LoA) Level of Identity Proofing (LoIP) Beide Konzepte betreffen Vertrauenswürdigkeit – aber auf unterschiedlichen Ebenen. Wer mit elektronischer Identifizierung, qualifizierten Zertifikaten oder Konformitätsbewertungen befasst ist, sollte die Unterschiede kennen. Level of Assurance (LoA): Das „Sicherheitsniveau“ eines […]

Dr. Sönke Maseberg | 20. März 2026 | Allgemein | elektronisches Identifizierungssystem, Identitätsprüfung, Level of Assurance, Level of Identity Proofing, LoA, LoIP, Vertrauensniveau

Blick auf ein Fußballspiel im Stadion abends bei Flutlicht.

Spanish AEDP v FC Barcelona: DPIA Required for Processing Biometric Data

The Spanish Data Protection Authority (AEPD) recently imposed a €500,000 fine on Fútbol Club Barcelona for failing to properly conduct a Data Protection Impact Assessment (DPIA) when implementing biometric systems used during the club’s membership census process. This complex decision ultimately focuses on Article 35 GDPR, with the AEPD concluding that the club failed to […]

Giulia Provini | 20. März 2026 | Aufsichtsbehörden, Internationaler Datenschutz | AEPD, Biometric data, biometric identification, data protection, data protection impact assessment, DPIA, English Posts, FC Barcelona, GDPR

Zwei Holzspielfiguren stehen in sich überschneidenden Kreisen.

Cyberangriff auf die Unfallkasse Thüringen: TLfDI verneint gemeinsame Verantwortlichkeit

Im Zuge eines Cyberangriffs auf die Unfallkasse Thüringen, der zu einem Datendiebstahl bei öffentlichen und nicht-öffentlichen Stellen führte, hatte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) zu prüfen, ob eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen der Unfallkasse und den jeweiligen öffentlichen und nicht-öffentlichen Stellen bestand. Der TLfDI befasste sich damit […]

Dominik Klöcker | 19. März 2026 | Aufsichtsbehörden | Art. 26 DSGVO, Art. 33 DSGVO, Cyberangriff, Datenbank, Datenschutzverletzung, Datenverarbeitung, Gemeinsame Verantwortlichkeit, Meldepflicht, Ransomware, SGB VII, Tätigkeitsbericht, TLfDI, Unfallkasse Thüringen, Zwecke | 3 Kommentare

Eine Hand nimmt ein Dokument aus einem aufgeschlagenen Ordner, im Vordergrund ist das „DSGVO – information privacy standard“-Siegel

Bremer Datenschutzaufsicht rückt Zertifizierungen stärker in den Fokus

Im 8. Jahresbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI Bremen) taucht ein Thema auf, das in den Vorjahren eher nur am Rande erwähnt wurde: die datenschutzrechtliche Zertifizierung nach Art. 42 DSGVO. Der Landesdatenschutzbeauftragte widmet ihr im Kapitel „Zahlen und Fakten“ einen klaren Platz – ein Schritt, der zeigt, dass Zertifizierungen zunehmend […]

Dr. Irene Karper | 18. März 2026 | Aufsichtsbehörden | Auditierung, Datenschutzaufsichtbehörde, DSGVO – information privacy standard, DSGVO-Zertifikat, LfDI Bremen, Tätigkeitsbericht, Zertifizierung

Frau läuft durch Innenstadt mit Handy in der Hand. Um ihr Gesicht ist eine Gesichtserkennung.

Biometric Data: Key GDPR Lessons from an AEPD Decision

The Spanish Data Protection Authority (AEPD) recently imposed a €950,000 fine on a company offering digital identity and age verification services that rely on facial analysis technology. The decision is particularly relevant for organisations deploying facial analysis technologies, including AI-based age estimation and identity verification systems that generate biometric templates, as it illustrates how regulators […]

Giulia Provini | 18. März 2026 | Aufsichtsbehörden, Internationaler Datenschutz | AEPD, age verification, Biometric data, biometric processing, data protection, English Posts, GDPR

Videokonferenz - Teilnehmer auf einem Laptop

Wenn KI mithört: Was Unternehmen bei der Transkription von Gesprächen beachten müssen

Die automatische Transkription von Telefongesprächen und Videokonferenzen durch KI-Systeme verspricht Effizienzgewinne im Berufsalltag, bspw. auch im Kundenservice. Doch die rechtlichen Anforderungen sind komplex und werden von Unternehmen oft unterschätzt. Im Folgenden erhalten Sie einen Überblick über die wesentlichen datenschutzrechtlichen Rahmenbedingungen sowie die Risiken, die bei der praktischen Umsetzung zu berücksichtigen sind. Live-Transkription zur Zusammenfassung: Ein […]

Lisa-Maria Körner | 17. März 2026 | Allgemein, Künstliche Intelligenz – KI | §201 StGB, AI Transcription, Gesprächstranskription, KI, Strafrecht, Transkription

Start ist in Buchstaben auf gelbem Hintergrund, ein Finger drückt symbolisch den Startknopf.

KRITIS-DachG ist in Kraft getreten

Das „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ wurde am 16.03.2026 im Bundesgesetzblatt verkündet und tritt somit heute in Kraft. Der erste Artikel enthält das neue „Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITISDachG)“; die weiteren Artikel beinhalten Änderungen an bestehenden Gesetzen. Wir werfen einen […]

Manfred Bauer | 17. März 2026 | Allgemein | BSIG, Bundesrat, Bundesregierung, Bundestag, Cybersicherheit, Dachgesetz, Informationssicherheit, KRITIS-DachG, kritische Infrastruktur, NIS-2-Richtlinie, Resilienz | 2 Kommentare

Person hält ein Blattpapier vor dem Gesicht, auf dem Papier ist ein Mensch abgebildet, welches ein Fragezeichen am Kopf hat.

eIDAS 2.0: Welche Identifizierungsmethoden sind zulässig – und was steckt hinter den „anderen Identifizierungsmethoden“?

Mit der eIDAS 2.0 – also der aktuellen Fassung der eIDAS-Verordnung 910/2014– schafft der europäische Gesetzgeber die Grundlage für vertrauenswürdige digitale Identitäten und qualifizierte Vertrauensdienste in der EU. Wie muss eine Identifizierung erfolgen, damit sie den Anforderungen an eIDAS entspricht? Die eIDAS-Verordnung nennt in Art. 24 Abs. 1a vier mögliche Arten zur Identifizierung einer Person: […]

Dr. Sönke Maseberg | 16. März 2026 | Allgemein | andere Identifizierungsmethode, eIDAS, eIDAS-Verordnung, ETSI, ETSI 119 461, Identifizierung, Identitätsprüfung, Implementing Act, Implementing Act 2025/1566, Trust Service Provider

Person arbeitet mit einem Handscanner in der Hand in einem Lager.

Italian DPA Orders Amazon Entity to Stop Unlawful Employee Data Processing

The Italian Data Protection Authority (Garante per la protezione dei dati personali) has issued an urgent order with immediate effect requiring Amazon Italia Logistica S.r.l. to stop processing personal data relating to more than 1,800 employees at one of its logistics facilities. The investigation revealed multiple violations from a data protection perspective. In particular, the […]

Giulia Provini | 13. März 2026 | Internationaler Datenschutz | Amazon, employee data processing, Employee monitoring, English Posts, Garante, GDPR, Italian DPA

Zwei Personen halten ihre Finger auf ein Dokument.

Pflichten des Auftragsverarbeiters

Wer als Dienstleister weisungsgebunden personenbezogene Daten eines Auftraggebers bzw. Verantwortlichen verarbeitet (z. B. Cloud-Dienste, Newsletter-Tools, externe Lohnbuchhaltung oder IT-Wartung), wird datenschutzrechtlich als Auftragsverarbeiter nach Art. 4 Nr. 12, Art. 28 DSGVO tätig. In diesen Fällen muss zwingend ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden – auch wenn dies für viele als lästiger Papierkram erscheint. Leidiges […]

Maximilian Eckardt | 13. März 2026 | Allgemein | Auftragsverarbeiter, Auftragsverarbeitung, Pflichten

Clean-Desk-Policy und Desksharing: Datenschutz und Ordnung im modernen Arbeitsumfeld

Die zunehmende Flexibilität in modernen Arbeitswelten, vom mobilen Arbeiten über immer mehr Homeoffice bis hin zu mehr Teil- und Gleitzeiten, stellt Unternehmen vor neue organisatorische und datenschutzrechtliche Herausforderungen. Zwei zentrale Bausteine, um diesen Anforderungen gerecht zu werden, sind das Desksharing-Modell und die Clean-Desk-Policy. Beide Konzepte greifen eng ineinander und dienen dazu, auch bei flexiblen Arbeitsplatzorganisation […]

Reik Olschanski | 12. März 2026 | Allgemein | Arbeitgeber, Arbeitnehmer, Arbeitsplatz, Clean-Desk-Policy, Compliance, Desksharing, Informationssicherheit, Richtlinie, technische und organisatorische Maßnahmen

Digital Accessibility and Data Protection: Insights from the Italian Data Protection Authority

Digital accessibility is becoming a central compliance topic across Europe. With the entry into application of the European Accessibility Act (Directive (EU) 2019/882, EAA), EU Member States must ensure that a wide range of digital products and services meet accessibility requirements so that people with disabilities can access them without barriers. These requirements apply to […]

Giulia Provini | 11. März 2026 | Internationaler Datenschutz | data protection, Digital Accessibility, English Posts, European Accessibility Act, Garante, Italian DPA, Legislative Decree No. 82/2022

«‹ 3 4 5 6 ›»