sb-tom

Paragraphen-Zeichen auf einem Haufen als Illustration.

KRITIS-Dachgesetz: Bundeskabinett beschließt Gesetzesentwurf

Am 10.09.2025 hat das Bundeskabinett den Entwurf für das KRITIS-Dachgesetz (KRITISDachG) beschlossen, das im derzeitigen Gesetzesentwurf als „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ firmiert. Strengere Vorgaben für Betreiber kritischer Anlagen – etwa in der Energieversorgung, im Transport- oder Gesundheitswesen – sollen Deutschland besser vor Sabotage, Terroranschlägen und […]

Manfred Bauer | 16. September 2025 | Informationssicherheit | Cybersicherheit, Informationssicherheit, ISMS, KRITIS-Dachgesetz, kritische Anlagen, Kritische Infrastrukturen, KRITISDachG, NIS2, Resilienz, Risikobewertung

Ein Lemur zeigt einen erstaunten Gesichtsausdruck.

Eintritt nur nach Fingerabdruck: Bußgeld gegen den Loro Parque

Der Loro Parque auf Teneriffa wird immer wieder für seine Tierhaltung kritisiert. Dass es auch beim Datenschutz Anlass für Beschwerden gab, wurde in den Medien vergleichsweise wenig thematisiert. Daher dürfte die Geldbuße in Höhe von 250.000 Euro, die von der spanischen Datenschutzaufsichtsbehörde Agencia Española de Protección de Datos (AEPD) gegen den Betreiber des Parks, die […]

Elena Folkerts | 15. September 2025 | Aufsichtsbehörden | AEPD, Art. 9 DSGVO, Aufsichtsbehörde, besucher, biometrische Daten, Bußgeld, Datenverarbeitung, DSGVO, Fingerabdrücke, Kunden, Loro Parque

Person hält den Fußball mit seinen Fuß fest.

Martijn Kaars wechselt zum FC St. Pauli – und viele wussten es schon vorher

Der Wechsel von Magdeburgs Torjäger Martijn Kaars zum FC St. Pauli ist nicht nur sportlich spektakulär, weil er mit vermutlich 4 Millionen Euro Ablöse für den 1. FC Magdeburg einen Rekordtransfer darstellt. Das allein hätte nicht gereicht, um es in unsere datenschutz notizen zu schaffen. Dafür bedurfte es schon besonderer Begleitumstände: Wie mehrere Medien berichteten, […]

Dr. Sebastian Ertel | 11. September 2025 | Allgemein | 1. FC Magedeburg, Datenpanne, E-Mail, FC St. Pauli, Foto, personenbezogene Daten, Vertraulichkeit | 1 Kommentar

Stühle mit blauem Bezug stehen in Stuhlreihen in einem großen Konferenzraum.

ULD Sommerakademie 2025 – Sicherheit und Datenschutz?

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in Kiel hat seine Sommerakademie 2025 ganz unter die durchaus kontroverse Ausgangsfrage gestellt: „Im Alarmmodus: Sicherheit und Datenschutz?“. Das Verhältnis zwischen Sicherheit und Freiheit wurde damit auf eindrucksvolle Weise in den Mittelpunkt der Veranstaltung gerückt. Vorträge bei der Sommerakademie 2025 Die Begrüßung der Anwesenden zu Beginn der Veranstaltung […]

Dr. Britta Alexandra Mester | 11. September 2025 | Allgemein, Aufsichtsbehörden | Aufsichtbehörde, Datenschutz, Fachkonferenz, sicherheit, Sommerakademie 2025, ULD

Neues EuGH-Urteil: Personenbezug trotz Pseudonymisierung

Mit seiner Entscheidung vom 04.09.2025 (C-413/23 P) hat sich der Europäische Gerichtshof (EuGH) zur umstrittenen Frage geäußert, wann pseudonymisierte Daten als personenbezogen zu betrachten sind und wessen Perspektive maßgeblich ist. Folgendes Geschehen lag der Entscheidung zugrunde: Im Zusammenhang mit der Abwicklung der spanischen Bank „Banco Popular Español“ wurden Entschädigungsansprüche früherer Gläubiger und Anteilseigner geprüft. Ihnen […]

Susanne Maria Voß | 10. September 2025 | Datenschutz-Grundverordnung | Anonymisierung, Auftragsverarbeiter, Datenschutz, EDSB, EuGH, personenbezogene Daten, Pseudonymisierung, SRB

Viele graue Ketten liegen durcheinander.

Kontrollpflichten bei Auftragsverarbeitern in der Verarbeitungskette

Viele Unternehmen lagern einzelne Aufgaben an externe Dienstleister aus, da durch das sog. Outsourcing oft effizientere Lösungen gefunden werden können. Als Beispiele wären die Verwendung einer fremdgehostete HR-Software, auf der Bewerber ihre Unterlagen hochladen können, oder der Newsletter-Versand über einen externen Anbieter zu nennen. Die Dienstleister verarbeiten dann ggf. auch personenbezogene Daten im Auftrag der […]

Sophia Louzri | 3. Juli 2025 | Allgemein, Aufsichtsbehörden | Auftragsverarbeiter, Auftragsverarbeitungsvertrag, Datenverarbeitungstätigkeiten, Dienstleister, Drittlandsübermittlung, DSGVO, EDSA, Garantien, Kontrollpflicht, Risiko, Überprüfungspflicht, Unterauftragnehmer, Verantwortliche Stelle

Ein roter Pin steckt in einem Kalenderblatt, das auf einem Tisch liegt.

Fristverlängerungen bei Auskunftsersuchen – Wann sind sie legitim?

Wie wir bereits in zahlreichen Blogbeiträgen dargelegt haben – exemplarisch sei hier auf diesen Beitrag verwiesen –, stellt die Bearbeitung von Auskunftsersuchen in der unternehmerischen Praxis nach wie vor eine erhebliche Herausforderung dar. Insbesondere dann, wenn es sich bei den Personen, die den Antrag stellen, um ehemalige oder aktuelle Mitarbeitende handelt, ist die praktische Umsetzung […]

Lisa-Maria Körner | 24. Juni 2025 | Allgemein, Aufsichtsbehörden | Arbeitgeber, Arbeitnehmer, Art. 12 Abs. 3 S. 2 DSGVO, Art. 15 Abs. 3 DSGVO, Auskunftsersuchen, BayLDA, Begründungspflicht, Fristverlängerung, LfD Niedersachsen, Recht auf Kopie | 2 Kommentare

Mann im blauen Sakko klingelt an einem Mehrfamilienhaus mit vielen Klingelschildern.

Wenn der Stromversorger zweimal klingelt – Wie weit darf nachvertragliche Werbung gehen?

Stromvertragshopping ist ein Phänomen, das Anbietern Kopfzerbrechen bereitet. Portale machen es einfach, dieses „Hopping“ zwischen verschiedenen Stromanbietern zu betreiben und spätestens nach zwei Jahren einen neuen, günstigeren Anbieter zu wählen. Daher gehen die Energieversorger gerne den persönlichen Weg, um Kunden – auch ehemalige – zurückzugewinnen. Einen solchen Fall der sog. nachvertraglichen Werbung hatte das Verwaltungsgericht […]

Olaf Rossow | 23. Juni 2025 | Allgemein, Aufsichtsbehörden | berechtigtes Interesse, DSGVO, Einwilligung, Energieversorger, Haustürbesuche, LfDI Bremen, nachvertragliche Werbung, Primärzweck, Sekundärzweck, Speicherdauer, UWG, Vertragslaufzeiten, VG Bremen, Werbung, Zweckänderung

Illustration mit Datenströmen, die durch eine KI-Anwendung fließen und zu verschiedenen Auswertungen führen.

Schweiz: Das DSG ist auf KI direkt anwendbar

Das Thema Künstliche Intelligenz (KI) und deren Einsatz sowie Regulierung ist derzeit in aller Munde und stellt Wirtschaft und Verwaltung vor verschiedenste Herausforderungen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 08.05.2025 eine Mitteilung auf seiner Website veröffentlicht, in der er einen Überblick über die Regulierung von KI in der Schweiz gibt. Wir möchten diesen […]

Theresa Leitermann | 20. Juni 2025 | Aufsichtsbehörden, Künstliche Intelligenz – KI | Aufsichtsbehörden, betroffene Person, Datenbearbeitung, Datenquellen, DSFA, DSG, EDÖB, KI, Künstliche Intelligenz, Schweiz, Transparenzpflichten

Malware_Virus_Hack_Computer_AdobeStock_197218681

Hackerangriffe und TOMs: Eine Handlungsempfehlung des BayLfD für öffentliche Stellen – Teil 2

Nachdem im ersten Teil dieser Beitragsreihe die Meldung der Hackerangriffe als Datenschutzverletzung behandelt wurde, betrachten wir heute die nach einem Hackerangriff zu ergreifenden technisch-organisatorischen Maßnahmen (TOMs) sowie weitere gesetzliche Mitteilungspflichten, die etwaig zu beachten sind und die der BayLfD in seinen Kurz-Mitteilungen 57 „Strafanzeige als technisch-organisatorische Maßnahme nach Hackerangriff?“ und 58 „Meldung nach Art. 33 […]

Patricia Artuković | 19. Juni 2025 | Allgemein, Aufsichtsbehörden | BayLfD, Cyberattacken, Datenschutz, DSGVO, Hackerangriffe, Strafanzeige, technisch-organisatorischen Maßnahmen, TOMs