Ein wichtigstes Instrument in der Datenschutz-Grundverordnung (DSGVO) sind die sog. „Betroffenenrechte“ nach Art. 12–23 DSGVO, wobei insbesondere das Recht auf Auskunft (Art. 15 DSGVO) und das Recht auf Löschung (Art. 17 Abs. 1 DSGVO) bzw. das „Recht auf Vergessenwerden“ (Art. 17 Abs. 2 DSGVO) in der Praxis Anwendung finden. Dieser Beitrag befasst sich mit dem […]
EDSA
Der Art. 42 DSGVO – information privacy standard – Einordnung für die Datenschutzberatung
Seit März 2025 führt der Europäische Datenschutzausschuss (EDSA) in seinem offiziellen Verzeichnis der Zertifizierungsmechanismen („Register of certification mechanisms, seals and marks“) einen weiteren Standard nach Art. 42 DSGVO: den „DSGVO – information privacy standard“. Der zugehörige Kriterienkatalog ermöglicht eine Zertifizierung nach Art. 42 DSGVO sowohl für Verantwortliche als auch für Auftragsverarbeiter. Anwendungsbereich und Ausrichtung des […]
Das Zauberwort heißt „berechtigtes Interesse“
Wenn nichts mehr hilft, dann hilft vielleicht das „berechtigte Interesse“. So klingt es manchmal in der Datenschutzberatung, wenn man nach Rechtsgrundlagen für eine Datenverarbeitung sucht. Denn, dies sei vorausgeschickt, egal, was Unternehmen und Behörden mit personenbezogenen Daten anstellen wollen, sie benötigen immer eine Rechtsgrundlage. Da kann es kreativ zugehen, wie einige Fälle zeigen. Notnagel „berechtigtes […]
Leitlinien des EDSA zum Zusammenspiel zwischen Digital Markets Act und DSGVO
Im Rahmen der europäischen Digitalstrategie gibt es häufige Berührungspunkte mit der DSGVO, die gerade in der Praxis Probleme bereiten, da nicht klar ist, wie zum Beispiel Pflichten aus dem Digital Markets Act (DMA) datenschutzkonform umgesetzt werden können. Nach Angaben des Europäischen Datenschutzausschusses (EDSA) schützen dabei sowohl die DSGVO als auch der DMA Einzelpersonen in der […]
Digitaler Omnibus der EU-Kommission – für alle was dabei?
Es ist ein wenig Ruhe eingekehrt, seitdem die Europäische Kommission im November ihre neuen Vorschläge ihrer europäischen Digitalstrategie vorgestellt hat. Der große Knall ist ausgeblieben. Vieles, was verkündet wurde, sickerte bereits im Vorfeld durch. Ob das Reformpaket, also die vorgeschlagenen Ideen zur Aktualisierung bestehender Vorschriften für Datenschutz, Datennutzung, künstliche Intelligenz und Cybersicherheit, gemäß des lateinischen […]
Du bist verantwortlich, nicht ich!
Im Datenschutzbereich wird immer wieder die Frage aufgeworfen, wer denn für die Datenverarbeitung rechtlich verantwortlich ist. Eine Frage, die auf den ersten Blick leicht zu beantworten erscheint: Wer die Daten verarbeitet, ist auch verantwortlich. Doch die Beratungspraxis zeigt ein deutlich komplexeres Bild, insbesondere in Konzernstrukturen mit mehreren Gesellschaften. Immer wieder hören wir Aussagen wie: „Die […]
Helsinki Statement des EDSA: Ein Meilenstein für praxisnahen Datenschutz in Europa
Am 1. und 2. Juli 2025 versammelte sich der Europäische Datenschutzausschuss (EDSA) zu einem hochrangigen Gipfeltreffen in Helsinki. Das Ergebnis dieser Zusammenkunft ist die sogenannte „Helsinki-Erklärung“ – ein ambitioniertes Dokument, das die Einhaltung der Datenschutz-Grundverordnung (DSGVO) insbesondere für kleine und mittlere Unternehmen (KMU) vereinfachen und effizienter gestalten soll. Warum die Helsinki-Erklärung ein Wendepunkt sein könnte […]
CEF 2025: Europaweite Prüfaktion zum Recht auf Löschung („Recht auf Vergessenwerden“)
Auch in diesem Jahr führt der Europäische Datenschutzausschuss (EDSA) wieder eine Maßnahme zum koordinierten Durchsetzungsrahmen (Coordinated Enforcement Framework, kurz CEF) durch. Im Fokus des CEF 2025 steht das Recht auf Löschung gemäß Art. 17 DSGVO. Im Jahr 2024 fand bereits ein CEF zum Recht auf Auskunft (Art. 15 DSGVO) statt. Mittlerweile handelt es sich um […]
EuGH-Urteil zur Anonymität von Daten und die Folgen für die Praxis
Mit Urteil vom 4. September 2025 hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung zur Anonymität und Personenbeziehbarkeit von Daten getroffen. Das Urteil beendet einen jahrelangen Streit über die Auslegung dieser zentralen Begriffe der Datenschutz-Grundverordnung (DSGVO) und hat erhebliche praktische Auswirkungen auf Forschung, Datenanalyse und insbesondere auf die Entwicklung von Künstlicher Intelligenz (KI). Siehe hierzu […]
EDSA setzt 2026 auf Transparenz: Koordinierte Prüfung der Informationspflichten
Der Europäische Datenschutzausschuss (EDSA) hat das Thema für die nächste koordinierte Durchsetzungsmaßnahme festgelegt: 2026 werden die europäischen Datenschutzaufsichtsbehörden gemeinsam untersuchen, wie Verantwortliche ihre Transparenzpflichten nach der DSGVO umsetzen. Transparenz auf dem Prüfstand Die fünfte Coordinated Enforcement Framework (CEF)-Aktion nimmt die Artikel 12, 13 und 14 DSGVO unter die Lupe. Diese Bestimmungen regeln, wann und wie […]
Interessenkonflikt beim Datenschutzbeauftragten: 5.500 Euro Strafe
Das Amt eines Datenschutzbeauftragten (DSB) darf nicht jeder ausüben. An die Benennung als DSB sind – aus guten Gründen – bestimmte fachliche, aber auch persönliche Voraussetzungen geknüpft, die erfüllt sein müssen. Eine davon besagt, dass er oder sie als unabhängige Kontrollinstanz bei der Wahrnehmung der Aufgaben keinem Interessenkonflikt unterliegen darf. Ein solcher Konflikt kann sich […]
EAID: Aktuelle Diskussion und Einblicke in die Welt der Aufsichtsbehörden
Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID e.V.) hat unter dem Titel „Zentralisierung der Digitalaufsicht?“ zur spannenden Online-Diskussion eingeladen – und über 100 Teilnehmende waren am 05.08.2025 dabei, um dem Impulsvortrag von Thomas Fuchs, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) sowie dem anschließenden Austausch zu folgen. Auch dank der guten Einblicke in […]
Kontrollpflichten bei Auftragsverarbeitern in der Verarbeitungskette
Viele Unternehmen lagern einzelne Aufgaben an externe Dienstleister aus, da durch das sog. Outsourcing oft effizientere Lösungen gefunden werden können. Als Beispiele wären die Verwendung einer fremdgehostete HR-Software, auf der Bewerber ihre Unterlagen hochladen können, oder der Newsletter-Versand über einen externen Anbieter zu nennen. Die Dienstleister verarbeiten dann ggf. auch personenbezogene Daten im Auftrag der […]
Training von Meta AI mit Nutzerdaten hat begonnen – Eilverfahren vor Gericht erfolglos
Zu der Frage, ob Meta ohne Einwilligung der User Nutzerdaten auf Facebook und Instagram für das Training ihrer KI-Modelle verwenden darf, gab es in der letzten Woche viele neue Entwicklungen. Über den bisherigen Verlauf haben wir in diesem Blogbeitrag berichtet. Irische Aufsichtsbehörde Am 21.05.2025 veröffentlichte die für Meta in der EU federführend zuständige irische Aufsichtsbehörde […]
Strategie des Europäischen Datenschutzausschusses 2024 – 2027
In der Welt des Datenschutzes wird den meisten der Europäische Datenschutzausschuss (EDSA) ein Begriff sein. Gerade durch die Erstellung von Leitlinien oder Empfehlungen werden Dokumente des EDSA oftmals als Hilfestellung bei datenschutzrechtlichen Fragestellungen verwendet. Aber nicht nur die Erstellung von Leitlinien oder Empfehlungen sind Aufgabe und Ziel des EDSA. Der EDSA hat 2024 eine Strategie […]