Google hat angekündigt, seine Rolle beim Einsatz von reCAPTCHA grundlegend zu ändern. Ab dem 2. April 2026 wird Google bei reCAPTCHA nicht mehr als datenschutzrechtlich Verantwortlicher auftreten, sondern als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Damit wird eine Grundsatzfrage bei reCAPTCHA geklärt, die bislang offen war und maßgeblich dazu beigetragen hat, dass […]
Auftragsverarbeiter
Dienstleister ärgere dich nicht – Dienstleister-Audits
Heute werfen wir einen Blick auf Dienstleister-Audits und worauf in diesem Zusammenhang zu achten ist. Spielregeln Laut Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) arbeitet ein Verantwortlicher nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Um dieser Pflicht nachkommen zu können, empfehlen wir in der Beratungspraxis – neben […]
Vertrauen ist gut, Kontrolle ist besser!
Dieser Leitsatz gilt ganz besonders beim Einsatz von Auftragsverarbeitern. Auch wenn externe Dienstleister gem. Art. 28 DSGVO zur Einhaltung des Auftragsverarbeitungsvertrags vertraglich verpflichtet sind, bedeutet das nicht, dass sich der Verantwortliche zurücklehnen kann. Letztlich sind es seine Daten, für die er Sorge zu tragen hat und Verantwortung übernehmen muss. Ein Urteil des Bundesgerichtshofs vom 11. […]
Du bist verantwortlich, nicht ich!
Im Datenschutzbereich wird immer wieder die Frage aufgeworfen, wer denn für die Datenverarbeitung rechtlich verantwortlich ist. Eine Frage, die auf den ersten Blick leicht zu beantworten erscheint: Wer die Daten verarbeitet, ist auch verantwortlich. Doch die Beratungspraxis zeigt ein deutlich komplexeres Bild, insbesondere in Konzernstrukturen mit mehreren Gesellschaften. Immer wieder hören wir Aussagen wie: „Die […]
Datenpannen-Revival: Zu absurd, um wahr zu sein?
Vor fast zehn Jahren berichteten wir über einen skurrilen Fall einer Datenschutzverletzung: die Patientenakte aus der Konfettikanone. Was war passiert? Eine Anwohnerin hatte nach einem Karnevalsumzug und beim Zusammenfegen von Konfetti herumliegende Papierschnipsel mit dem Namen ihrer Schwester darauf entdeckt. Die personenbezogenen Daten stammten von nicht fachgerecht zerkleinerten Patientenakten eines Krankenhauses in Thüringen, welchen eine […]
Bußgeld in Millionenhöhe: Rundumschlag der kroatischen Aufsichtsbehörde
Ein kroatisches Telekommunikationsunternehmen verstieß gleich in mehrfacher Hinsicht gegen die Vorgaben der DSGVO und musste dies am Ende teuer bezahlen. Nachdem im Rahmen des aufsichtsbehördlichen Verfahrens unterschiedliche Verstöße festgestellt wurden, wurde das Telekommunikationsunternehmen von der kroatischen Datenschutzbehörde (AZOP) mit einer Geldstrafe in Höhe von insgesamt 4,5 Millionen Euro belegt. Sachverhalt Der in Kroatien ansässige Telekommunikationsanbieter […]
Datenschutzrechtliche Einordnung einer Treuhandstelle am Beispiel klinischer Forschung
Treuhandstellen können in unterschiedlichen Bereichen auftreten, wie bei der Vermögensverwaltung oder auch als Immobilien-Treuhand. Insbesondere Krankenhäuser und Universitätskliniken nutzen Treuhandstellen. Zweck der Treuhandstelle im Rahmen von klinischen Studien ist es, Forschung mit Gesundheitsdaten von Probanden durchzuführen, gleichzeitig die Identität der Probanden zu schützen (Grundsatz der Integrität und Vertraulichkeit des Art. 5 Abs. 1 lit. f […]
Neues EuGH-Urteil: Personenbezug trotz Pseudonymisierung
Mit seiner Entscheidung vom 04.09.2025 (C-413/23 P) hat sich der Europäische Gerichtshof (EuGH) zur umstrittenen Frage geäußert, wann pseudonymisierte Daten als personenbezogen zu betrachten sind und wessen Perspektive maßgeblich ist. Folgendes Geschehen lag der Entscheidung zugrunde: Im Zusammenhang mit der Abwicklung der spanischen Bank „Banco Popular Español“ wurden Entschädigungsansprüche früherer Gläubiger und Anteilseigner geprüft. Ihnen […]
Kontrollpflichten bei Auftragsverarbeitern in der Verarbeitungskette
Viele Unternehmen lagern einzelne Aufgaben an externe Dienstleister aus, da durch das sog. Outsourcing oft effizientere Lösungen gefunden werden können. Als Beispiele wären die Verwendung einer fremdgehostete HR-Software, auf der Bewerber ihre Unterlagen hochladen können, oder der Newsletter-Versand über einen externen Anbieter zu nennen. Die Dienstleister verarbeiten dann ggf. auch personenbezogene Daten im Auftrag der […]
BfDI: 45 Mio. Euro Geldbuße gegen Vodafone
Das höchste, bisher verhängte Bußgeld in Deutschland für Verstöße gegen die DSGVO betrug 35,3 Mio. Euro. Seit dem 03.06.2025 steht der Titel „höchstes Bußgeld“ der Vodafone GmbH (Vodafone) zu. Das Bußgeld in Höhe von 45 Mio. Euro, verhängt von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), setzt sich aus zwei Einzelbußgeldern zusammen. Diese […]
Die Rechte des Verantwortlichen bei Unterauftragsverarbeitern: Vertrauen ist gut, Kontrolle ist besser?
Die Verantwortung für den Datenschutz ist eine zentrale Herausforderung für Unternehmen, besonders wenn es darum geht, externe Dienstleister und Unterauftragsverarbeiter einzubinden. Doch wie weit reichen die Kontrollpflichten des Auftraggebers? Muss er alle Unternehmen in der Auftragskette überwachen, oder reicht eine Kontrolle der direkten Vertragspartner? In einer aktuellen Stellungnahme hat der Europäische Datenschutzausschuss (EDSA) Klarheit geschaffen […]
DSGVO – information privacy standard – Kapitel P.4 – Auftragsverarbeitung
Während wir uns bei unserem letzten Beitrag zur Beitragsreihe über den Kriterienkatalog des DSGVO – information privacy standard mit den Informationspflichten des Kunden beschäftigt haben, widmen wir uns heute dem wichtigem Aspekt der Auftragsverarbeitung. Kapitel P.4 Auftragsverarbeitung Viele Unternehmen bedienen sich bei der Bereitstellung ihrer Dienste externer Dienstleister – etwa im Rahmen von Hosting- oder […]
DSGVO – information privacy standard – Kapitel P.3 – Pflichten des Kunden
Unsere Blogreihe rund um den Kriterienkatalog des DSGVO – information privacy standard geht in die nächste Runde. In unserem letzten Beitrag haben wir uns mit dem Kapitel P.2 – Grundsätze – befasst. Heute werfen wir einen Blick auf das nächste Kapitel: P.3 – Pflichten des Kunden. Das Kapitel P.3 – Pflichten des Kunden Das Kapitel […]
„DSGVO – information privacy standard“ ist da! –
Teil 3: Anwendung des Zertifizierungsstandards
Nachdem wir in den ersten beiden Teilen zum Zertifizierungsstandard „DSGVO – information privacy standard“ zunächst die Übergabe der Urkunde bekanntgeben durften und dann die Vorteile erläutert haben, wollen wir heute erklären, wie „DSGVO – information privacy standard“ denn funktioniert und welche Kosten anfallen. Anwendung des Zertifizierungsstandards „DSGVO – information privacy standard“ Zunächst einmal ist der […]
„DSGVO – information privacy standard“ ist da! –
Teil 2: Vorteile, die überzeugen
Nachdem wir im Teil 1 zum Zertifizierungsstandard „DSGVO – information privacy standard“ die Übergabe der Urkunde bekanntgeben durften und nochmal den Weg der letzten sechs Jahre bis zu unserem DSGVO-Zertifikat haben Revue passieren lassen, wollen wir in diesem Beitrag darauf eingehen, für wen unser Standard interessant ist und welche Vorteile Sie davon haben. Für wen […]