Vor fast zehn Jahren berichteten wir über einen skurrilen Fall einer Datenschutzverletzung: die Patientenakte aus der Konfettikanone. Was war passiert? Eine Anwohnerin hatte nach einem Karnevalsumzug und beim Zusammenfegen von Konfetti herumliegende Papierschnipsel mit dem Namen ihrer Schwester darauf entdeckt. Die personenbezogenen Daten stammten von nicht fachgerecht zerkleinerten Patientenakten eines Krankenhauses in Thüringen, welchen eine […]
Verantwortlicher
Personalisierte E-Mail-Adressen für den Betriebsrat?
Die Arbeit des Betriebsrates ist in Zeiten der Digitalisierung ohne Kommunikationsinfrastruktur kaum denkbar. Immer mehr an Bedeutung gewinnen elektronische Postfächer und sichere Kommunikationskanäle für den Austausch mit Mitarbeitenden und externen Ansprechpartnern. Doch welche Pflichten treffen den Arbeitgeber bei der Ausstattung des Betriebsrates und welche datenschutzrechtlichen Anforderungen sind dabei zu beachten? Mit dieser Frage beschäftigte sich […]
Datenschutzrechtliche Einordnung einer Treuhandstelle am Beispiel klinischer Forschung
Treuhandstellen können in unterschiedlichen Bereichen auftreten, wie bei der Vermögensverwaltung oder auch als Immobilien-Treuhand. Insbesondere Krankenhäuser und Universitätskliniken nutzen Treuhandstellen. Zweck der Treuhandstelle im Rahmen von klinischen Studien ist es, Forschung mit Gesundheitsdaten von Probanden durchzuführen, gleichzeitig die Identität der Probanden zu schützen (Grundsatz der Integrität und Vertraulichkeit des Art. 5 Abs. 1 lit. f […]
DSGVO – information privacy standard – Kapitel P.4 – Auftragsverarbeitung
Während wir uns bei unserem letzten Beitrag zur Beitragsreihe über den Kriterienkatalog des DSGVO – information privacy standard mit den Informationspflichten des Kunden beschäftigt haben, widmen wir uns heute dem wichtigem Aspekt der Auftragsverarbeitung. Kapitel P.4 Auftragsverarbeitung Viele Unternehmen bedienen sich bei der Bereitstellung ihrer Dienste externer Dienstleister – etwa im Rahmen von Hosting- oder […]
DSGVO – information privacy standard – Kapitel P.3 – Pflichten des Kunden
Unsere Blogreihe rund um den Kriterienkatalog des DSGVO – information privacy standard geht in die nächste Runde. In unserem letzten Beitrag haben wir uns mit dem Kapitel P.2 – Grundsätze – befasst. Heute werfen wir einen Blick auf das nächste Kapitel: P.3 – Pflichten des Kunden. Das Kapitel P.3 – Pflichten des Kunden Das Kapitel […]
Die Verantwortlichkeit eines ehemaligen berufsmäßigen Betreuers
Krankheit oder eine Behinderung schränken Menschen oft in Ihrem aktiven Leben ein und können sich in den unterschiedlichsten Bereichen des Alltags auswirken. Hier kommt oft ein Betreuer, eine Betreuerin ins Spiel. Auch bei rechtlichen Angelegenheiten kann eine Betreuung sinnvoll sein, so z. B. bei älteren Menschen oder Volljährigen, die aufgrund einer Krankheit oder einer Behinderung […]
Nicht durchgeführte Datenschutz-Folgenabschätzung – keine Auswirkung auf die materielle Rechtmäßigkeit einer Datenverarbeitung
Das Verwaltungsgericht (VG) Wiesbaden hat kürzlich entschieden, dass sich eine nicht oder fehlerhaft durchgeführte Datenschutz-Folgenabschätzung nicht auf die materielle Zulässigkeit des Verarbeitungsvorgangs personenbezogener Daten auswirkt (Urteil vom 18.12.2024, Az. 6 K 1563/21.WI). Für Personen, die sich täglich mit dem Thema Datenschutz auseinandersetzen, ist dies keine überraschende Erkenntnis. So hat das VG Wiesbaden in seinem Urteil […]
EuGH-Urteil: Ausnahme von der DSGVO-Informationspflicht
Im heutigen Blogbeitrag befassen wir uns mit der Informationspflicht bei einer indirekten Datenerhebung und einem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) dazu. Das EuGH-Urteil vom 28.11.2024 in der Rechtssache C-169/23 betrifft das Vorabentscheidungsersuchen des Obersten Gerichts in Ungarn. Im Mittelpunkt steht die Auslegung des Art. 14 Abs. 5 lit. c DSGVO in Bezug auf Ausnahmen […]
Wann haftet mein Unternehmen für Auftragsverarbeiter?
Der Einsatz von externen Dienstleistern und die Auslagerung bestimmter Prozesse ist für fast alle Unternehmen selbstverständlich. Dies kann verschiedenste Gründe haben, beispielsweise nicht ausreichende personelle Kapazitäten, Verbesserung von Arbeitsprozessen oder Sicherstellung der Verfügbarkeiten (z. B. durch Backups in externen Rechenzentren). Sofern personenbezogene Daten des Verantwortlichen in dessen Auftrag (weisungsgebunden) durch Dienstleister verarbeitet werden, handelt es sich […]
Datenschutz in Vereinen in der Schweiz
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat im Juli 2024 weitere Informationen zur Bearbeitung von Personendaten im Rahmen der Vereinsarbeit herausgegeben. Hierbei geht der EDÖB insbesondere auf Neuerungen aufgrund des im vergangenen Jahr in Kraft getretenen neuen Schweizer Datenschutzgesetzes (DSG) ein (wir berichteten). Zum Verständnis des folgenden Textes sei darauf hingewiesen, dass, anders als in […]
Verweise auf (zu viele) Unterauftragsverarbeiter in AV-Verträgen
Vereinbarungen zu eingesetzten Unterauftragsverarbeitern innerhalb von Auftragsverarbeitungsverträgen (AV-Verträge oder auch AVV) führen immer wieder zu Rückfragen. Dies gilt insbesondere in Bezug auf Dienstleister aus Drittstaaten, d. h. aus Ländern außerhalb der EU bzw. des EWR. Nicht immer fallen diese unter einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). In diesem Fall sind andere (geeignete) Garantien […]
Wie weit geht die Weisungsgebundenheit von Auftragsverarbeitern?
In Art. 4 Nr. 8 DSGVO wird ein Auftragsverarbeiter definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Dabei ist sicherzustellen, dass der zwischen einem datenschutzrechtlich Verantwortlichen und einem Auftragsverarbeiter zu schließende Auftragsverarbeitungsvertrag (AVV) Regelungen zur Weisungsgebundenheit enthält: Nach Art. 28 Abs. 3 S. […]
EuGH-Urteil zum Löschverlangen von Aufsichtsbehörden
Im März hat sich der Europäische Gerichtshof (EuGH, Urteil vom 14.03.2024 – C-46/23) zu der Frage geäußert, ob Datenschutzaufsichtsbehörden die Löschung personenbezogener Daten anordnen können. Ausgangspunkt war ein Meinungsstreit in Ungarn. Dieser basierte auf der Ansicht einer Verwaltungsbehörde, dass ein Löschantrag i. S. d. Art. 17 DSGVO (nur) betroffenen Personen vorbehalten sei. Die ungarische Aufsichtsbehörde […]
Kann „Microsoft Copilot with commercial Data Protection“ datenschutzkonform eingesetzt werden?
Heute beschäftigen wir uns mit der bereits im Titel dieses Blogbeitrags gestellten Frage. Die Frage ist dabei bewusst ziemlich speziell formuliert, denn wir wollen uns heute mit nur einer Ausprägung der verschiedenen Lizenzen beschäftigen, die Microsoft im Rahmen seines KI-gestützten Assistenztools „Copilot“ anbietet. Die Lizenz, um die es heute geht, nennt sich „Microsoft Copilot with […]
Verantwortliche haften für Auftragsverarbeiter – EuGH schließt sich Generalanwalt an
Der Europäische Gerichtshof (EuGH) hat sich in seinem Urteil vom 05.12.2023 (C-683/21) nicht nur mit der gemeinsamen datenschutzrechtlichen Verantwortlichkeit beschäftigt (wir berichteten). In der sechsten und letzten Vorlagefrage, die das litauische Verwaltungsgericht dem EuGH vorlegte, ging es um die Bußgeldhaftung eines Verantwortlichen für Datenverarbeitungen seines Auftragsverarbeiters. So wurde gefragt, ob … … von Art. 83 […]
1 2