Viele Unternehmen lagern einzelne Aufgaben an externe Dienstleister aus, da durch das sog. Outsourcing oft effizientere Lösungen gefunden werden können. Als Beispiele wären die Verwendung einer fremdgehostete HR-Software, auf der Bewerber ihre Unterlagen hochladen können, oder der Newsletter-Versand über einen externen Anbieter zu nennen. Die Dienstleister verarbeiten dann ggf. auch personenbezogene Daten im Auftrag der […]
Dienstleister

BfDI: 45 Mio. Euro Geldbuße gegen Vodafone
Das höchste, bisher verhängte Bußgeld in Deutschland für Verstöße gegen die DSGVO betrug 35,3 Mio. Euro. Seit dem 03.06.2025 steht der Titel „höchstes Bußgeld“ der Vodafone GmbH (Vodafone) zu. Das Bußgeld in Höhe von 45 Mio. Euro, verhängt von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), setzt sich aus zwei Einzelbußgeldern zusammen. Diese […]

Warum Unternehmen und Organisationen eine KI-Richtlinie brauchen
Seit dem 2. Februar 2025 gilt die Schulungspflicht nach der KI-Verordnung (KI-VO), d. h. Beschäftigte, die sich mit der Nutzung oder dem Betrieb von KI-Systemen befassen, sollen nach Art. 4 KI-VO „über ein ausreichendes Maß an KI-Kompetenz“ verfügen. Mit der Umsetzung der Schulungspflicht ist es jedoch noch nicht getan, denn Unternehmen und Organisation sind gut […]

Als Datenschützer neu im Unternehmen: Wo fange ich an?
Mithilfe des nachfolgenden Beitrages soll allen neuen Datenschutzbeauftragten eine Orientierung gegeben werden, um im neuen Aufgabenbereich eine Priorisierung der Aufgaben vornehmen zu können und eine strukturierte Vorgehensweise zu implementieren. Spätestens in 2018 wurden viele Beschäftigte mit der Aufgabe betraut, den Datenschutz im Unternehmen zu übernehmen. Nicht wenige mussten sich mit dem Thema und der neuen […]

EU-US DPF: Sind unsere Daten in den USA in Gefahr?
Wer einen US-Dienstleister nutzt, muss damit rechnen, dass die Daten entweder auf Servern in den USA verarbeitet werden oder zumindest für US-Behörden zugänglich sind. Dabei sind zwei wesentliche Regelwerke zu beachten: Das EU-US Data Privacy Framework (DPF) und der CLOUD-Act. Der CLOUD-Act, den Präsident Trump 2018 in Kraft setzte, regelt den Datenzugriff von US-Strafverfolgungsbehörden auf Daten […]

Verweise auf (zu viele) Unterauftragsverarbeiter in AV-Verträgen
Vereinbarungen zu eingesetzten Unterauftragsverarbeitern innerhalb von Auftragsverarbeitungsverträgen (AV-Verträge oder auch AVV) führen immer wieder zu Rückfragen. Dies gilt insbesondere in Bezug auf Dienstleister aus Drittstaaten, d. h. aus Ländern außerhalb der EU bzw. des EWR. Nicht immer fallen diese unter einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). In diesem Fall sind andere (geeignete) Garantien […]
Datenschutzrechtliche Betrachtung von Dienstleistern und deren Zuverlässigkeit
Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO sind ein wichtiger Standard und gehören datenschutzrechtlich gewissermaßen zum guten Ton, wenn ein Verantwortlicher einen Dienstleister für seine Zwecke einspannen möchte. Im Informationszeitalter sind sie angesichts „cloud-technischer“ Omnipräsenz Massenware und in mannigfaltiger Form anzutreffen. Es gibt zahlreiche Vorlagen und Muster, sowohl aus der Feder verschiedener Interessenverbände als auch […]
Hilfe, mein Auftragsverarbeiter will keinen Vertrag schließen!
Auch fast fünf Jahre nach Inkrafttreten der DSGVO kommt es in einigen Fällen nach wie vor zu folgender Situation: Dienstleister, die mit der Verarbeitung von personenbezogenen Daten beauftragt wurden bzw. werden sollen, zeigen keine Reaktion auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags. Datenschutzrechtlich Verantwortliche stellt dies wiederum vor große Herausforderungen. Auf […]
„8.10 Information deletion“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Die Norm ISO/IEC 27002 ist 2022 in neuem Gewand erschienen (wir berichteten) und hält einige neue Referenzmaßnahmen (sog. Controls) bereit, die wir in dieser Blogreihe näher betrachten. Das neue Control „8.10 Information deletion“ wird in der ebenfalls neu gewählten Struktur den „Technological controls“ zugeordnet. Die Maßnahme befasst sich mit der Löschung von Informationen und bezieht […]
„5.23 Information security for use of cloud services“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Heutzutage setzen sich Cloud-Anwendungen bzw. Cloud-Services bei immer mehr Unternehmen durch – von kleinen Hilfsprogrammen bis hin zu mächtigen Office-Anwendungen. Da sich bei der Nutzung von solchen Cloud-Services aus Sicht der Informationssicherheit durchaus einige Besonderheiten und Abweichungen zu reinen On-Premises-Anwendungen ergeben, wurde nun im Abschnitt 5 „Organizational controls“ hierzu ein eigenes Kapitel in die ISO/IEC […]