In dem vor kurzem vorgestellten Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wird ein interessanter und für viele Unternehmen vermutlich sehr relevanter Fall zum Umgang mit Datenschutzverletzungen besprochen. Wie die Aufsichtsbehörde mitteilt, wurden in zwei Arztpraxen, die zum selben Träger gehören, jeweils Festplatten mit Daten von Patient:innen gestohlen. Dabei soll der Täter die […]

Einführung einer Skill-Matrix im Unternehmen
Eine Skill-Matrix bietet einen Überblick über die individuellen Fähigkeiten der Mitarbeiter, jenseits der üblichen arbeitsplatzspezifischen Anforderungen. Der Aufbau einer zentralen Skill-Matrix bringt Unternehmen zahlreiche Vorteile: Der gezielte Zugriff auf vorhandenes Mitarbeiterwissen wird zu einem wertvollen Instrument, um Synergieeffekte zu nutzen und Ressourcen effizienter einzusetzen so z.B. auch eine Studie des Fraunhofer Institutes. Dieser Beitrag beleuchtet […]

TikTok receives fine of 530 million euros by Irish DPC
In September 2021 an investigation was started by the Irish Data Protection Commission (DPC), as Lead Supervisory Authority, to verify TikTok’s compliance with GDPR obligations in terms of: verification of age requirements for users under 13 or 18 years of age and lawfulness of the personal data transfers to the People’s Republic of China (China). […]

Neue Angriffstrends im Bereich Informationssicherheit?
Für eine wirksame Strategie zur Verteidigung von IT-Infrastrukturen ist es erforderlich zu wissen, welche Techniken und Methoden bei Angriffen auf IT-Infrastukturen im Trend liegen und am häufigsten für digitale Einbrüche und Datendiebstähle verwendet werden. Dieser Artikel beschäftigt sich in diesem Zusammenhang mit Sicherheitsvorfällen aus dem Jahr 2024 und nutzt dabei den M-Trends 2025 Report als […]

DSGVO – information privacy standard – Kapitel P.4 – Auftragsverarbeitung
Während wir uns bei unserem letzten Beitrag zur Beitragsreihe über den Kriterienkatalog des DSGVO – information privacy standard mit den Informationspflichten des Kunden beschäftigt haben, widmen wir uns heute dem wichtigem Aspekt der Auftragsverarbeitung. Kapitel P.4 Auftragsverarbeitung Viele Unternehmen bedienen sich bei der Bereitstellung ihrer Dienste externer Dienstleister – etwa im Rahmen von Hosting- oder […]

Was hat die Kehrwoche mit Datenschutz zu tun?
Jeder, der einmal in Schwaben gewohnt hat, kennt das Phänomen: die Kehrwoche. Es handelt sich hierbei laut Wikipedia um „…die geregelte Reinigung gemeinschaftlich benutzter Bereiche in Einfamilien- und Mehrparteienwohnhäusern und von Flächen wie Hauszugängen, Vorplätzen und Gehwegen und Straßen im Gebiet des ehemaligen Württemberg.“ Auch heute findet man in Mietshäusern teilweise noch das typische Schild mit […]
Probleme bei Auskunftsersuchen von (ehemaligen) Mitarbeitern
Wenn ein Arbeitsverhältnis endet, geht das in der Regel ohne größere Probleme vonstatten. In manchen Fällen kann es jedoch – bspw. aufgrund einer arbeitgeberseitigen Kündigung – zu Streitigkeiten und letztlich zu einem arbeitsgerichtlichen Prozess kommen. Spitzfindige und datenschutzkundige Rechtsanwälte oder Arbeitnehmer machen in solchen Fällen neben den arbeitsrechtlichen Ansprüchen auch datenschutzrechtliche Ansprüche geltend. Der Klassiker […]
Telefonische Auskünfte und Datenschutz – geht das?
Wie erhält man von Behörden und Gerichten Informationen über andere Personen? Reicht dafür ein Anruf aus? Und welche Rolle spielt die DSGVO dabei? Mit diesen Fragen befasste sich der Europäische Gerichtshof (EuGH), nachdem ein finnisches Unternehmen mündlich Auskunft über mögliche Vorstrafen einer natürlichen Person erhalten wollte (EuGH-Urteil vom 07.03.2024 – C-740/22). Fällt das gesprochene Wort […]
Belgian DPA Clarifies Company Liability for GDPR Breaches by Rogue Employees
Are companies always responsible if their employees cause a data breach under the General Data Protection Regulation (GDPR)? According to a recent decision by the Belgian Data Protection Authority (DPA), the answer appears to be yes, or at least in most cases. The Case In this case, a manager at a hospital accessed an employee’s […]
DSGVO – information privacy standard – Kapitel P.3 – Pflichten des Kunden
Unsere Blogreihe rund um den Kriterienkatalog des DSGVO – information privacy standard geht in die nächste Runde. In unserem letzten Beitrag haben wir uns mit dem Kapitel P.2 – Grundsätze – befasst. Heute werfen wir einen Blick auf das nächste Kapitel: P.3 – Pflichten des Kunden. Das Kapitel P.3 – Pflichten des Kunden Das Kapitel […]
Neues EKD-Datenschutzgesetz gilt ab 1. Mai
Alles neu macht der Mai. So auch im Datenschutzrecht, zumindest in dem der Evangelischen Kirche in Deutschland. Zum 01.05.2025 tritt das bei der EKD-Synode in Würzburg (10. bis. 13.11.2024) beschlossene Kirchengesetz zur 3. Änderung des EKD-Datenschutzgesetzes (DSG-EKD) in Kraft. In unserem Blogbeitrag vom 28.11.2024 berichteten wir bereits umfassend über die bevorstehenden Änderungen. Die wesentlichen Neuerungen […]
Müssen Bewerbungen verschlüsselt entgegengenommen werden?
Möchte man sich bei einem Unternehmen auf eine Stellenanzeige oder initiativ bewerben, kann dies häufig über ein sog. Bewerberportal auf der jeweiligen Website erfolgen. Dort werden dann die Bewerbungsunterlagen hochgeladen. Wenn ein solches Bewerberportal jedoch nicht im Einsatz ist, wird in Stellenanzeigen oftmals um ein Einreichen der Bewerbungsunterlagen per E-Mail gebeten. In meiner Praxis als […]
Tratsch über Beschäftigte – ein DSGVO-Verstoß?
Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) schildert in ihrem Tätigkeitsbericht Datenschutz 2024 (S. 45-48) häufige Beschwerden aufgrund mündlicher Äußerungen im Beschäftigungskontext. Dies betraf in den ihr vorliegenden Fällen bspw. Aussagen über Gründe (fristloser) Kündigung oder zu ärztlichen Diagnosen bei Arbeitsunfähigkeit. Dabei stellt sich die Frage, ob/wann der Anwendungsbereich der DSGVO eröffnet ist, wenn über einzelne […]
Die Datenschutzgrundsätze im Kriterienkatalog des DSGVO – information privacy standard
In unserer Blogreihe zur DSGVO-Zertifizierung beleuchten wir heute das zweite Kapitel des Kriterienkatalogs– die Grundsätze. Diese bilden das Fundament für eine datenschutzkonforme Verarbeitung. Die Anforderungen greifen zentrale Prinzipien der DSGVO auf, die für jede Verarbeitungstätigkeit gelten. Das Kapitel gliedert sich in sieben Kriterien: P.2.1 Privacy-by-Design P.2.2 Privacy-by-Default P.2.3 Zweckbindung P.2.4 Datenminimierung P.2.5 Richtigkeit P.2.6 Speicherbegrenzung […]
Daten gelöscht, Anspruch besteht: Auskunftsanspruch erlischt nicht mit dem Papierkorb
Wie bereits in der Vergangenheit besprochen (wir berichteten), kann eine unvollständige Beantwortung einer geforderten Auskunft über die Informationen zur Datenverarbeitung zu Schadensersatzansprüchen führen. Nicht besser wird es, wenn man sie unterlässt oder Daten wegen der Auskunftsanfrage löscht. Solch einen Fall hatte nun das Arbeitsgericht Düsseldorf (Urteil vom 04.12.2024 – 8 Ca 3409/24) zu entscheiden. Daten […]