Viele Unternehmen lagern einzelne Aufgaben an externe Dienstleister aus, da durch das sog. Outsourcing oft effizientere Lösungen gefunden werden können. Als Beispiele wären die Verwendung einer fremdgehostete HR-Software, auf der Bewerber ihre Unterlagen hochladen können, oder der Newsletter-Versand über einen externen Anbieter zu nennen. Die Dienstleister verarbeiten dann ggf. auch personenbezogene Daten im Auftrag der […]
Auftragsverarbeiter

BfDI: 45 Mio. Euro Geldbuße gegen Vodafone
Das höchste, bisher verhängte Bußgeld in Deutschland für Verstöße gegen die DSGVO betrug 35,3 Mio. Euro. Seit dem 03.06.2025 steht der Titel „höchstes Bußgeld“ der Vodafone GmbH (Vodafone) zu. Das Bußgeld in Höhe von 45 Mio. Euro, verhängt von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), setzt sich aus zwei Einzelbußgeldern zusammen. Diese […]

Die Rechte des Verantwortlichen bei Unterauftragsverarbeitern: Vertrauen ist gut, Kontrolle ist besser?
Die Verantwortung für den Datenschutz ist eine zentrale Herausforderung für Unternehmen, besonders wenn es darum geht, externe Dienstleister und Unterauftragsverarbeiter einzubinden. Doch wie weit reichen die Kontrollpflichten des Auftraggebers? Muss er alle Unternehmen in der Auftragskette überwachen, oder reicht eine Kontrolle der direkten Vertragspartner? In einer aktuellen Stellungnahme hat der Europäische Datenschutzausschuss (EDSA) Klarheit geschaffen […]

DSGVO – information privacy standard – Kapitel P.4 – Auftragsverarbeitung
Während wir uns bei unserem letzten Beitrag zur Beitragsreihe über den Kriterienkatalog des DSGVO – information privacy standard mit den Informationspflichten des Kunden beschäftigt haben, widmen wir uns heute dem wichtigem Aspekt der Auftragsverarbeitung. Kapitel P.4 Auftragsverarbeitung Viele Unternehmen bedienen sich bei der Bereitstellung ihrer Dienste externer Dienstleister – etwa im Rahmen von Hosting- oder […]

DSGVO – information privacy standard – Kapitel P.3 – Pflichten des Kunden
Unsere Blogreihe rund um den Kriterienkatalog des DSGVO – information privacy standard geht in die nächste Runde. In unserem letzten Beitrag haben wir uns mit dem Kapitel P.2 – Grundsätze – befasst. Heute werfen wir einen Blick auf das nächste Kapitel: P.3 – Pflichten des Kunden. Das Kapitel P.3 – Pflichten des Kunden Das Kapitel […]

„DSGVO – information privacy standard“ ist da! –
Teil 3: Anwendung des Zertifizierungsstandards
Nachdem wir in den ersten beiden Teilen zum Zertifizierungsstandard „DSGVO – information privacy standard“ zunächst die Übergabe der Urkunde bekanntgeben durften und dann die Vorteile erläutert haben, wollen wir heute erklären, wie „DSGVO – information privacy standard“ denn funktioniert und welche Kosten anfallen. Anwendung des Zertifizierungsstandards „DSGVO – information privacy standard“ Zunächst einmal ist der […]
„DSGVO – information privacy standard“ ist da! –
Teil 2: Vorteile, die überzeugen
Nachdem wir im Teil 1 zum Zertifizierungsstandard „DSGVO – information privacy standard“ die Übergabe der Urkunde bekanntgeben durften und nochmal den Weg der letzten sechs Jahre bis zu unserem DSGVO-Zertifikat haben Revue passieren lassen, wollen wir in diesem Beitrag darauf eingehen, für wen unser Standard interessant ist und welche Vorteile Sie davon haben. Für wen […]
„DSGVO – information privacy standard“ ist da! –
Teil 1: Unser Weg zur Urkunde
Endlich ist er da: unser Zertifizierungsstandard „DSGVO – information privacy standard“. Nach über sechs Jahren der Vorbereitung wurde heute in Bremerhaven die Urkunde durch den Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI), Dr. Timo Utermark, an uns, die Geschäftsführung der datenschutz cert GmbH, übergeben. In diesem ersten von drei Blogbeiträgen zum „DSGVO – information privacy standard“ […]
Wann haftet mein Unternehmen für Auftragsverarbeiter?
Der Einsatz von externen Dienstleistern und die Auslagerung bestimmter Prozesse ist für fast alle Unternehmen selbstverständlich. Dies kann verschiedenste Gründe haben, beispielsweise nicht ausreichende personelle Kapazitäten, Verbesserung von Arbeitsprozessen oder Sicherstellung der Verfügbarkeiten (z. B. durch Backups in externen Rechenzentren). Sofern personenbezogene Daten des Verantwortlichen in dessen Auftrag (weisungsgebunden) durch Dienstleister verarbeitet werden, handelt es sich […]
Verweise auf (zu viele) Unterauftragsverarbeiter in AV-Verträgen
Vereinbarungen zu eingesetzten Unterauftragsverarbeitern innerhalb von Auftragsverarbeitungsverträgen (AV-Verträge oder auch AVV) führen immer wieder zu Rückfragen. Dies gilt insbesondere in Bezug auf Dienstleister aus Drittstaaten, d. h. aus Ländern außerhalb der EU bzw. des EWR. Nicht immer fallen diese unter einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). In diesem Fall sind andere (geeignete) Garantien […]
Wie weit geht die Weisungsgebundenheit von Auftragsverarbeitern?
In Art. 4 Nr. 8 DSGVO wird ein Auftragsverarbeiter definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Dabei ist sicherzustellen, dass der zwischen einem datenschutzrechtlich Verantwortlichen und einem Auftragsverarbeiter zu schließende Auftragsverarbeitungsvertrag (AVV) Regelungen zur Weisungsgebundenheit enthält: Nach Art. 28 Abs. 3 S. […]
Workation – mit dem Datenschutz im Gepäck!
Die große Urlaubswelle in den Sommerferien ist längst angekommen. Immer mehr Menschen verbinden mittlerweile auch das Reisen mit der Arbeit in Form der sog. „Workation“, d. h. sie gehen ihrer beruflichen Tätigkeit an einem Urlaubsort nach. Mit dem Laptop im Café am Strand in Italien sitzen oder in der Finca auf Mallorca? Die moderne Ausstattung […]
Datenschutz beim EM-Tippspiel
In wenigen Tagen startet die Fußball-Europameisterschaft (UEFA EURO 2024) in Deutschland. Zu diesem Ereignis wird es nicht nur volle Stadien und viele Events in den Austragungsorten geben, sondern auch wieder einige „Tipprunden“. Zahlreiche Unternehmen veranstalten mittlerweile interne oder gar öffentliche Online-Tippspiele – häufig auch mit Preisen und entsprechender Bekanntgabe der Gewinner*innen. Doch was ist dabei […]
Verarbeitung personenbezogener Daten durch KI-basierte Sprachmodelle – Notwendigkeit eines Paradigmenwechsels?
KI-basierte Sprachmodelle wie ChatGPT werden zunehmend über entsprechende Programmier-Schnittstellen – auch API genannt – Software-Entwicklern zur Verfügung gestellt, um hierüber KI-Funktionalität in Fachanwendungen zu integrieren. Die Integration von Künstlicher Intelligenz in Fachanwendungen, die bislang weitgehend durch algorithmische Regeln und nicht durch heuristische Analysen geprägt war, mag zwar aus Sicht der Anwender und Nutzer oftmals zu […]
EuGH-Urteil zum Löschverlangen von Aufsichtsbehörden
Im März hat sich der Europäische Gerichtshof (EuGH, Urteil vom 14.03.2024 – C-46/23) zu der Frage geäußert, ob Datenschutzaufsichtsbehörden die Löschung personenbezogener Daten anordnen können. Ausgangspunkt war ein Meinungsstreit in Ungarn. Dieser basierte auf der Ansicht einer Verwaltungsbehörde, dass ein Löschantrag i. S. d. Art. 17 DSGVO (nur) betroffenen Personen vorbehalten sei. Die ungarische Aufsichtsbehörde […]