Der Datenschutz betrifft nicht nur Unternehmen oder Behörden! Ein aktueller Fall aus dem Tätigkeitsbericht 2025 des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) zeigt deutlich: Auch Privatpersonen können schnell in die Rolle eines datenschutzrechtlich Verantwortlichen rutschen – mit allen daraus folgenden Pflichten. Der Fall In einer Wohnungseigentümergemeinschaft (WEG) wurden über 300 Bewohner per E-Mail dazu aufgefordert, Verstöße […]
Verantwortlicher
Settlement statt Streit: DSK-Merkblatt zur Verständigung im DSGVO-Bußgeldverfahren schafft Klarheit
Verstoßen Verantwortliche gegen die Datenschutz-Grundverordnung (DSGVO), kann die zuständige Aufsichtsbehörde eine Geldbuße erlassen. „Kann“ ist dabei mehr als eine semantische Randnotiz: Es eröffnet den Behörden einen Ermessensspielraum bei der Wahl der geeigneten Sanktion. Die Geldbuße bildet dabei die höchste „Eskalationsstufe“. Mit dem Merkblatt der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom […]
Dienstleister ärgere dich nicht – Dienstleister-Audits
Heute werfen wir einen Blick auf Dienstleister-Audits und worauf in diesem Zusammenhang zu achten ist. Spielregeln Laut Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) arbeitet ein Verantwortlicher nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Um dieser Pflicht nachkommen zu können, empfehlen wir in der Beratungspraxis – neben […]
Vertrauen ist gut, Kontrolle ist besser!
Dieser Leitsatz gilt ganz besonders beim Einsatz von Auftragsverarbeitern. Auch wenn externe Dienstleister gem. Art. 28 DSGVO zur Einhaltung des Auftragsverarbeitungsvertrags vertraglich verpflichtet sind, bedeutet das nicht, dass sich der Verantwortliche zurücklehnen kann. Letztlich sind es seine Daten, für die er Sorge zu tragen hat und Verantwortung übernehmen muss. Ein Urteil des Bundesgerichtshofs vom 11. […]
Datenpannen-Revival: Zu absurd, um wahr zu sein?
Vor fast zehn Jahren berichteten wir über einen skurrilen Fall einer Datenschutzverletzung: die Patientenakte aus der Konfettikanone. Was war passiert? Eine Anwohnerin hatte nach einem Karnevalsumzug und beim Zusammenfegen von Konfetti herumliegende Papierschnipsel mit dem Namen ihrer Schwester darauf entdeckt. Die personenbezogenen Daten stammten von nicht fachgerecht zerkleinerten Patientenakten eines Krankenhauses in Thüringen, welchen eine […]
Personalisierte E-Mail-Adressen für den Betriebsrat?
Die Arbeit des Betriebsrates ist in Zeiten der Digitalisierung ohne Kommunikationsinfrastruktur kaum denkbar. Immer mehr an Bedeutung gewinnen elektronische Postfächer und sichere Kommunikationskanäle für den Austausch mit Mitarbeitenden und externen Ansprechpartnern. Doch welche Pflichten treffen den Arbeitgeber bei der Ausstattung des Betriebsrates und welche datenschutzrechtlichen Anforderungen sind dabei zu beachten? Mit dieser Frage beschäftigte sich […]
Datenschutzrechtliche Einordnung einer Treuhandstelle am Beispiel klinischer Forschung
Treuhandstellen können in unterschiedlichen Bereichen auftreten, wie bei der Vermögensverwaltung oder auch als Immobilien-Treuhand. Insbesondere Krankenhäuser und Universitätskliniken nutzen Treuhandstellen. Zweck der Treuhandstelle im Rahmen von klinischen Studien ist es, Forschung mit Gesundheitsdaten von Probanden durchzuführen, gleichzeitig die Identität der Probanden zu schützen (Grundsatz der Integrität und Vertraulichkeit des Art. 5 Abs. 1 lit. f […]
DSGVO – information privacy standard – Kapitel P.4 – Auftragsverarbeitung
Während wir uns bei unserem letzten Beitrag zur Beitragsreihe über den Kriterienkatalog des DSGVO – information privacy standard mit den Informationspflichten des Kunden beschäftigt haben, widmen wir uns heute dem wichtigem Aspekt der Auftragsverarbeitung. Kapitel P.4 Auftragsverarbeitung Viele Unternehmen bedienen sich bei der Bereitstellung ihrer Dienste externer Dienstleister – etwa im Rahmen von Hosting- oder […]
DSGVO – information privacy standard – Kapitel P.3 – Pflichten des Kunden
Unsere Blogreihe rund um den Kriterienkatalog des DSGVO – information privacy standard geht in die nächste Runde. In unserem letzten Beitrag haben wir uns mit dem Kapitel P.2 – Grundsätze – befasst. Heute werfen wir einen Blick auf das nächste Kapitel: P.3 – Pflichten des Kunden. Das Kapitel P.3 – Pflichten des Kunden Das Kapitel […]
Die Verantwortlichkeit eines ehemaligen berufsmäßigen Betreuers
Krankheit oder eine Behinderung schränken Menschen oft in Ihrem aktiven Leben ein und können sich in den unterschiedlichsten Bereichen des Alltags auswirken. Hier kommt oft ein Betreuer, eine Betreuerin ins Spiel. Auch bei rechtlichen Angelegenheiten kann eine Betreuung sinnvoll sein, so z. B. bei älteren Menschen oder Volljährigen, die aufgrund einer Krankheit oder einer Behinderung […]
Nicht durchgeführte Datenschutz-Folgenabschätzung – keine Auswirkung auf die materielle Rechtmäßigkeit einer Datenverarbeitung
Das Verwaltungsgericht (VG) Wiesbaden hat kürzlich entschieden, dass sich eine nicht oder fehlerhaft durchgeführte Datenschutz-Folgenabschätzung nicht auf die materielle Zulässigkeit des Verarbeitungsvorgangs personenbezogener Daten auswirkt (Urteil vom 18.12.2024, Az. 6 K 1563/21.WI). Für Personen, die sich täglich mit dem Thema Datenschutz auseinandersetzen, ist dies keine überraschende Erkenntnis. So hat das VG Wiesbaden in seinem Urteil […]
EuGH-Urteil: Ausnahme von der DSGVO-Informationspflicht
Im heutigen Blogbeitrag befassen wir uns mit der Informationspflicht bei einer indirekten Datenerhebung und einem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) dazu. Das EuGH-Urteil vom 28.11.2024 in der Rechtssache C-169/23 betrifft das Vorabentscheidungsersuchen des Obersten Gerichts in Ungarn. Im Mittelpunkt steht die Auslegung des Art. 14 Abs. 5 lit. c DSGVO in Bezug auf Ausnahmen […]
Wann haftet mein Unternehmen für Auftragsverarbeiter?
Der Einsatz von externen Dienstleistern und die Auslagerung bestimmter Prozesse ist für fast alle Unternehmen selbstverständlich. Dies kann verschiedenste Gründe haben, beispielsweise nicht ausreichende personelle Kapazitäten, Verbesserung von Arbeitsprozessen oder Sicherstellung der Verfügbarkeiten (z. B. durch Backups in externen Rechenzentren). Sofern personenbezogene Daten des Verantwortlichen in dessen Auftrag (weisungsgebunden) durch Dienstleister verarbeitet werden, handelt es sich […]
Datenschutz in Vereinen in der Schweiz
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat im Juli 2024 weitere Informationen zur Bearbeitung von Personendaten im Rahmen der Vereinsarbeit herausgegeben. Hierbei geht der EDÖB insbesondere auf Neuerungen aufgrund des im vergangenen Jahr in Kraft getretenen neuen Schweizer Datenschutzgesetzes (DSG) ein (wir berichteten). Zum Verständnis des folgenden Textes sei darauf hingewiesen, dass, anders als in […]
Verweise auf (zu viele) Unterauftragsverarbeiter in AV-Verträgen
Vereinbarungen zu eingesetzten Unterauftragsverarbeitern innerhalb von Auftragsverarbeitungsverträgen (AV-Verträge oder auch AVV) führen immer wieder zu Rückfragen. Dies gilt insbesondere in Bezug auf Dienstleister aus Drittstaaten, d. h. aus Ländern außerhalb der EU bzw. des EWR. Nicht immer fallen diese unter einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). In diesem Fall sind andere (geeignete) Garantien […]
1 2