Geburtsdatum und Wohnort von GmbH-Geschäftsführern gehören ins Handelsregister. Dabei bleibt es trotz DSGVO. So die klare Ansage des Bundesgerichtshofs (BGH). Zur Begründung beruft er sich umfangreich auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH). Das macht die Entscheidung des BGH grundsätzlich bedeutsam.

Wer kann die Löschung von Daten erzwingen, wenn sie rechtswidrig unterbleibt? Nur der Betroffene selbst oder auch die Aufsichtsbehörde? Der EuGH stellt einiges klar, das für alle Unternehmen und Behörden wichtig ist. Bei Verstößen drohen erhebliche Geldbußen.

Die Frage scheint einfach, doch bei der Antwort wird man schnell unsicher: Gilt die DSGVO auch für Auskünfte, die mündlich erfolgen? Endgültige Klarheit schafft erst der Europäische Gerichtshof.

Die DSGVO gewährt betroffenen Person umfangreiche Rechte. Gelten diese Rechte auch für juristische Personen, also etwa für eine GmbH? Ein Fall aus der Finanzgerichtsbarkeit zeigt, wie schwer eine allgemeine Antwort fällt.

„Wer muss was beweisen können?“ Diese Frage entscheidet oft darüber, ob jemand einen Anspruch auf Schadensersatz nach DSGVO hat oder nicht. Der EuGH hat hierfür wichtige Regeln aufgestellt. Er tat dies anhand eines banalen Falls, der jeden Tag irgendwo im Einzelhandel vorkommt.

Gesundheitsdaten schützt die DSGVO ganz besonders. Was folgt daraus, wenn eine Gesundheitseinrichtung medizinische Daten von Mitarbeitern verarbeitet, um die Arbeitsfähigkeit dieser Mitarbeiter zu beurteilen? Der EuGH gibt einige Antworten, die wohl kaum jemand so erwartet hätte.

Der Auskunftsanspruch nach Art. 15 DSGVO schließt das Recht auf eine Kopie der personenbezogenen Daten ein. Was bedeutet das konkret für das Beispiel einer Patientenakte? Wann ist eine Kopie davon kostenlos?

Eine der größten Erleichterungen 2023 war, dass wieder rechtlich korrekte Datenübermittlungen in die USA möglich sind. Was manche übersehen: Die Beachtung bestimmter Voraussetzungen führt zu teils erheblichen Prüfpflichten seitens der Datenübermittler.

Ohne Tests geht in der IT kaum etwas. Denn wie soll man sonst wissen, ob eine Anwendung funktioniert? Für Tests braucht man Daten. Manchmal genügen fiktive Daten. Manchmal müssen die Daten aber auch echt sein. Was sind jeweils die Vorgaben der DSGVO?

Kriminelle hacken das EDV-System einer Finanzbehörde. Der Betrieb liegt tagelang völlig still. Danach ist er wochenlang beeinträchtigt. Und jetzt verlangen einige, deren Daten betroffen waren, wegen des Vorfalls Schadensersatz. Können sie damit Erfolg haben? Lesen Sie, was der EuGH dazu sagt.

„Kein Gesetzgebungsvorschlag kommt so aus dem Gesetzgebungsverfahren heraus, wie er hineingegangen ist.“ Diese Erfahrung bewahrheitet sich immer wieder. Dennoch sollten DSB grob orientiert sein, welche Neuregelungen im Datenschutz die Bundesregierung ins Auge fasst.

Der Auskunftsanspruch nach Art. 15 ­DSGVO erstreckt sich auch darauf, gegenüber wem personenbezogene Daten „offengelegt“ worden sind. Kann ein Betroffener somit die Namen der Mitarbeiter eines Unternehmens herausverlangen, die seine Daten dort konkret verarbeitet haben?

Es kann gut sein, dass Sie von diesem Thema noch nie gehört haben. Aber Sie sollten vorbereitet sein, falls es demnächst im Unternehmen heißt: Unsere Forderungsausfälle sind deutlich gestiegen. Und schuld daran ist der Datenschutz. Denn von Restschuldbefreiungen erfahren wir jetzt ja sehr schnell nichts mehr. Lesen Sie, was der Europäische Gerichtshof (EuGH) dazu entschieden hat.

Die DSGVO gilt nur für personenbezogene Daten. Wann aber sind Daten personenbezogen? Steht der Name der betroffenen Person direkt dabei, ist der Personenbezug klar. Was, wenn das nicht der Fall ist? Der Europäische Gerichtshof (EuGH) hat sich dazu geäußert. Seine Antwort fällt differenziert aus. Mit der „typisch deutschen“ Diskussion, ob der Personenbezug „absolut“ oder „relativ“ zu verstehen ist, hält er sich dabei nicht auf.

Bei Office 365 ist es oft so eingerichtet: Der Chef kann auf den Mail-Account seiner Assistenz zugreifen. Umgekehrt gilt dasselbe. Was ist, wenn der Chef dabei peinliche Privat-Mails der Assistenz liest? Muss er Schadensersatz zahlen? Bevor Sie voreilig den Kopf schütteln – der Fall ging durch drei Instanzen!

Sie waren in einem Krankenhaus oder bei einem niedergelassenen Arzt in Behandlung. Sie sind nicht sicher, ob die Behandlung wirklich fachgerecht war. Können Sie eine kostenlose Kopie der Behandlungsunterlagen verlangen, um das zu überprüfen? Der Europäische Gerichtshof (EuGH) zeigt sich sehr großzügig.

Die DSGVO lässt „nebenamtliche DSB“ zu. Aber bedeutet das, dass ein DSB zugleich auch Vorsitzender des Betriebsrats sein kann? Oder besteht hier eine unzulässige Interessenkollision? Und wenn ja, was ist daraus für andere „nebenamtliche DSB“ abzuleiten? Wann besteht bei ihnen eine nicht zulässige Kollision von Interessen?

Wer personenbezogene Daten verarbeitet, muss die betroffenen Personen darüber informieren. Das mündet oft in lange Texte, die wenig lesefreundlich sind. Bietet die Verwendung von Datenschutz-Icons eine Alternative?

Das Verhältnis von Arbeitgeber und Arbeitnehmer ist angespannt. Der Arbeitnehmer fürchtet eine Kündigung. Das nächste Personalgespräch zeichnet er lieber einmal heimlich auf. Das hat ernste Folgen.

Im Hof einer Wohnanlage toben sich Kinder und Jugendliche fast jeden Tag aus. Irgendwann wird einer Bewohnerin der Lärm zu viel. Sie will das Ganze für eine Beschwerde bei der Hausverwaltung dokumentieren. Deshalb filmt und fotografiert sie einige der Kinder. Ist das o.k. oder geht das zu weit?

Seit der EuGH die Anwendung des Privacy Shield gestoppt hatte, griffen viele Unternehmen auf die EU-Standardvertragsklauseln zurück. Wird das noch nötig sein, nachdem das EU-US Data Privacy Framework (DPF) anwendbar ist? Die Antwort darauf fällt differenziert aus.

Solange Harmonie zwischen Arbeitgeber und Arbeitnehmer herrscht, taucht das Problem typischerweise nicht auf. Aber wehe, wenn es Spannungen gibt! Dann gibt es plötzlich Streit darüber, ob der Arbeitgeber E-Mails des Arbeitnehmers auswerten darf. Besondere Brisanz hat das Thema, wenn es zum Kündigungsschutzprozess kommt.

„Abmahnwellen“ wegen angeblicher oder tatsächlicher Datenschutz­verletzungen sind gefürchtet. Bisher bleiben die Abmahnungen meist erfolglos. Aber könnte sich das vielleicht ändern? Dem BGH ist das ­Thema so wichtig, dass er dazu den EuGH eingeschaltet hat.

Ein ehemaliger Mitarbeiter einer Bank hört, dass sich die Innenrevision seines Ex-Arbeitgebers intensiv mit Unterlagen über ihn befasst. Er möchte vom Arbeitgeber wissen, welche Mitarbeiter wann auf welche Daten von ihm zugegriffen haben. Die Bank verweigert wichtige Teile der Auskunft. Die Datenschutzaufsicht gibt ihr Recht. Wie sieht der EuGH die Angelegenheit?

Der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework ist in Kraft getreten. Aber Achtung: Der Angemessenheitsbeschluss führt für sich allein nicht dazu, dass Datenübermittlungen nun automatisch rechtmäßig wären.

Mit einem spektakulären Urteil hat der Europäische Gerichtshof (EuGH) die Auslegungshoheit für Fragen des Beschäftigtendatenschutzes in der EU weitgehend an sich gezogen. Das wird Folgen haben.

Ein Arbeitnehmer kommt für eine „Mehrarbeitsschicht“ auf das Werksgelände. Noch bevor die Schicht beginnt, geht er wieder heim. Bezahlen lässt er sich die Schicht trotzdem. Eine Videoaufnahme beweist sein Verhalten. Darf das Arbeitsgericht die Aufnahme verwenden, obwohl sie „ein bisschen“ gegen den Datenschutz verstößt?

Darf die Müllabfuhr Sperrmüll fotografieren, bevor sie ihn abholt? Die Frage mag leicht kurios wirken. Sie führt aber zu hochinteressanten Datenschutz-Überlegungen, die allgemeine Bedeutung haben.

Dass Beschäftigte von Unternehmen in Deutschland ganz oder teilweise aus dem Homeoffice in einem Drittstaat arbeiten, kommt seit der Corona-Pandemie deutlich häufiger vor als früher. Aus der Sicht des Datenschutzes ist dabei einiges zu beachten.

Jemand stört sich an einer Videoüberwachung. Und das völlig zurecht. So sieht es sogar die zuständige Datenschutzbehörde. Dennoch wird sie bewusst nicht aktiv. Ist so etwas in Ordnung?

Wer sich zum ersten Mal an einem EuGH-Urteil versucht, ist oft der Verzweiflung nahe. Alles wirkt noch schwieriger und unübersichtlicher als bei den Urteilen deutscher Gerichte. Lesen Sie anhand eines Beispiels, wie Sie mit dieser Herausforderung zurechtkommen.

Eine Radiologie-Praxis beauftragt einen externen Dienstleister, alle anfallenden Daten für den Abruf durch die Patienten in einer Cloud bereitzuhalten. Eine CD mit seinen Daten bekommt jeder Patient trotzdem nach wie vor. Geht das auch ohne Einwilligung? Die hessische Datenschutzaufsicht stieg tief in die Thematik ein.

„Mit Kirche habe ich nichts am Hut!“ Diesen Satz hört man öfter von Personen, die nie Mitglied einer Kirche waren oder die irgendwann aus einer Kirche ausgetreten sind. Er stimmt allerdings gerade im Datenschutz nur sehr begrenzt.

Das „dritte Geschlecht“ ist auch für Datenschutzbeauftragte (m/w/d/keine Angabe) von Bedeutung. Denn die korrekte Unterscheidung der Geschlechter muss sich in Online-Formularen und Kundendatenbanken widerspiegeln.

Dass eine Lehrkraft manchmal Schwierigkeiten hat, sich die Namen aller Schülerinnen und Schüler zu merken, ist nachvollziehbar. Aber darf sie deshalb alle Schulkinder ihrer Klassen fotografieren und eine Fotodatenbank anlegen? Sie ahnen es: Das gibt Probleme.

Ein Arbeitgeber wollte stets exakt nachprüfen können, wann sich die Fahrzeuge des Unternehmens in den letzten sechs Monaten wo befunden hatten. Die Datenschutzaufsicht verhängte deswegen allerdings eine recht saftige Geldbuße.

Hand aufs Herz: Könnten Sie – jetzt, sofort und gleich – das Passwort für Ihr E-Mail-Postfach ändern? Das wäre die wichtigste Schutzmaßnahme, die Sie bei einem Identitätsdiebstahl ergreifen müssten! Lesen Sie, was Sie sonst noch beherrschen müssen, um gewappnet zu sein.

„Bitte keine Werbung einwerfen!“ Wer dies auf seinen Briefkasten schreibt, hat deutlich formuliert. Aber was ist, wenn die Werbezettel dann künftig in Ritzen und Zwischenräumen der Briefkastenanlage stecken? Kann sich ein Eigentümer oder ein Mieter dagegen rechtlich wehren?

Darf ein früherer Arbeitgeber den jetzigen Arbeitgeber warnen, dass aus seiner Sicht bei einem Beschäftigten einiges nicht stimmt? Und das auch noch von sich aus, ohne jede Nachfrage des jetzigen Arbeitgebers? Während Ihr Puls schneller wird: Lesen Sie, warum das Landesarbeitsgericht Rheinland-Pfalz sich mit solchen Ideen ernsthaft befasst hat.

Nach Ansicht mancher Spötter sind papierlose Büros so selten wie weiße Elefanten. Wie auch immer: Schon wegen diverser Aufbewahrungspflichten gibt es in vielen Unternehmen noch große Aktenberge. Wehe, sie kommen mit Wasser in Berührung und werden unbrauchbar. Dann tauchen erhebliche Datenschutzfragen auf.

Von den vielfältigen Möglichkeiten von Excel wissen die meisten Nutzer kaum etwas. Gerade das kann zu Datenpannen führen. Ein Ratgeber des Bayerischen Landesbeauftragten für den Datenschutz zu diesem Thema lässt sich in weniger als einer halben Stunde durcharbeiten.

Viele Unternehmen überlassen den Beziehern von Werbe-E-Mails die Wahl, wie oft sie solche Nachrichten erhalten wollen. Hat der Mail-Bezieher seine Entscheidung getroffen, muss sich das Unternehmen daran halten. Sonst droht Ärger mit Wettbewerbern.

Wer ohnehin schon großen Schaden hat, darf zusätzlich noch eine Geldbuße zahlen. So erging es einem Unternehmen, das Opfer einer Ransomware-Attacke wurde. Denn die Datenschutzaufsicht konnte dem Unternehmen nachweisen, dass es am Erfolg des Angriffs selbst schuld war. Dass der Fall in Großbritannien spielt, ist ohne Bedeutung. Denn auch dort wendet die Datenschutzaufsicht nach wie vor die DSGVO an.

Das Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO geht sehr weit. Für Erben einer Person wäre es manchmal praktisch, wenn der Auskunftsanspruch dieser Person auf sie übergehen würde. Das ist aber nicht der Fall.

Am 13. Dezember 2022 hat die EU-Kommission den lange erwarteten Entwurf für einen Angemessenheitsbeschluss zu Datenübermittlungen in die USA vorgelegt. Der Beitrag schildert, worauf sich Unternehmen schon jetzt konkret einstellen können und sollten.

Bei „Direktwerbung“ wird eine Person unmittelbar persönlich angesprochen, etwa per Brief, Telefon oder E-Mail. Das geht nicht, ohne Daten dieser Person zu verarbeiten. Ein ausführliches Papier der Datenschutzkonferenz (DSK) stellt dar, was dabei zu beachten ist.

Beim Auskunftsanspruch betroffener Personen nach Art. 15 DSGVO sind viele Fragen offen. In einem wichtigen Punkt hat der Europäische Gerichtshof (EuGH) jetzt Klarheit geschaffen. Betroffene Personen können im Regelfall verlangen, dass der Verantwortliche ihnen ganz genau sagt, an wen er ihre Daten übermittelt hat.

Ein Unternehmen lässt Wirtschaftsprüfer den Datenschutz durchchecken. Die Prüfer melden mehrere angebliche „Hochrisiko-Feststellungen“. Kann das Unternehmen nun den Datenschutzbeauftragten (DSB) vor die Tür setzen?

134 Seiten – so umfangreich ist der Entwurf der EU-Kommission für einen Angemessenheitsbeschluss zum Transatlantic Data Privacy Framework. Da schadet es nicht, einige Wegweiser zu nutzen, um sich zurechtzufinden, etwa die Übersicht über alle Anhänge zum Entwurf.

134 Seiten – so umfangreich ist der Entwurf der EU-Kommission für einen Angemessenheitsbeschluss zum Transatlantic Data Privacy Framework. Da schadet es nicht, einige Wegweiser zu nutzen, um sich zurechtzufinden, etwa die Gliederung zu den Prinzipien des Frameworks.

Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben höchstes fachliches Niveau. Deshalb sollten Sie den neuen Mindeststandard des BSI zur Nutzung externer Cloud-Dienste unbedingt kennen. Sonst drohen gravierende Versäumnisse.

Beim Auskunftsanspruch nach Art. 15 DSGVO ist inzwischen fast alles umstritten. Gleich mehrere Vorlagen nationaler Gerichte geben dem EuGH Gelegenheit, Streitfragen zu klären. Wir präsentieren Ihnen eine Auswahl der wichtigsten Themen, um die es dabei geht.

Ein Unternehmen verletzt die DSGVO erheblich. Rechtfertigt allein das schon eine Geldbuße? Oder muss feststehen, wie es dazu im Einzelnen kam und welche Person konkret etwas falsch gemacht hat? Darüber wird der EuGH in einiger Zeit entscheiden

Bei der Auslegung der DSGVO gibt es noch viele Unklarheiten. Jedes Gericht kann dem Europäischen Gerichtshof dazu Fragen vorlegen. In diesem Beitrag beleuchten wir zwei Vorlageverfahren zur persönlichen Stellung von betrieblichen Datenschutzbeauftragten.

US-Präsident Biden hat eine Anordnung getroffen, die den Forderungen des EuGH aus seiner Schrems-II-Entscheidung entgegenkommen soll. Was genau besagt diese Executive Order?

Manche Gerichtsentscheidungen behandeln Themen, die auf den ersten Blick ausgesprochen speziell wirken. Doch bei näherem Hinsehen enthalten sie Ausführungen, die weit über den Einzelfall hinaus von Bedeutung sind. So hier, wo das Gericht grundsätzliche Ausführungen zum Datenschutzkonzept des Betriebsrats macht.

Wie steht es um das Schutzniveau für personenbezogene Daten, wenn ein Verantwortlicher sie nach Russland übermittelt? Der Europäische Datenschutzaussschuss (EDSA) rät zur Vorsicht.

Bei Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) stellt sich die Frage, über welche Qualifikation der Datenschutzbeauftragte (DSB) verfügen muss. Die Anforderungen sind sehr breit gefächert.

Das BDSG gewährt allen betrieblichen Datenschutzbeauftragten (DSB) einen besonderen Schutz vor Kündigung. Die DSGVO schweigt zu diesem Thema. Darf das BDSG dann einen besonderen Kündigungsschutz überhaupt vorsehen? Der Europäische Gerichtshof (EuGH) gibt darauf eine eindeutige Antwort, mit einer überraschenden Differenzierung ganz am Ende.

Über Beteiligungen, teils sehr verschachtelter Art, sind auch viele kleinere Unternehmen in Konzernstrukturen eingebunden. Geht es dann darum, für bestimmte Projekte Personaldaten auszutauschen, ist manches nicht erlaubt, was auf den ersten Blick sinnvoll erscheint.

Der Betreiber eines Fitnessstudios überwacht den gesamten Trainingsbereich mit Videokameras. Eine Kundin beschwert sich darüber bei der Datenschutzaufsicht. Ergebnis: Die Aufsichtsbehörde untersagt die Videoüberwachung. Das liegt auch daran, dass der Betreiber des Studios rechtlich nicht flexibel reagiert hat.

Datenschutz – das hat etwas mit elektronischen Daten zu tun! So denken auch heute noch viele. Sie vergessen dabei, dass gerade die DSGVO Daten auf Papier im Ergebnis voll einbezieht. Das zwingt dazu, diese Art von Daten mehr denn je im Blick zu behalten.

Ihre Krankenkasse schickt Ihnen per Mail Ihre Gesundheitsdaten der letzten drei Jahre zu – doch die Nachricht kommt nie bei Ihnen an. Dafür aufgrund eines Fehlers bei einem anderen Empfänger. Hier kann nach DSGVO Schadensersatz fällig sein.

Viele Datenschutzbeauftragte fragen sich, welche Aufgaben sie nach der Datenschutz-Grundverordnung (DSGVO) eigentlich erfüllen müssen. Die Darstellung konzentriert sich auf die Pflichtaufgaben, die ein DSB in jedem Fall erfüllen muss, und auf die Haftungsfrage.

Inzwischen ist der Auskunftsanspruch nach Art. 15 DSGVO in vielen Unternehmen gefürchtet. Der Beitrag gibt einen Überblick über die Struktur des ­Auskunftsrechts und über Streitfragen. Die neuen Leitlinien des EDSA zum Auskunftsanspruch sind besonders berücksichtigt.

Diebe stehlen einem Finanzdienstleister fast 400.000 Datensätze, die aus Nachlässigkeit Angreifern zugänglich waren. Das könnte das Unternehmen in Form von Schadensersatzzahlungen teuer zu stehen kommen.

Es hört sich wie ein Märchen an: Jemand zahlt seine Stromrechnung nicht. Ein Gericht verurteilt ihn zur Zahlung. Daraufhin zahlt er doch. Trotzdem geht eine Meldung an die SCHUFA. Deshalb bekommt der Stromkunde jetzt 5.000 Euro Schadensersatz. Doch Vorsicht! Lesen Sie, wo der Teufel im Detail steckt!

Ein Unternehmen soll in der EU nur eine einzige Datenschutzaufsichtsbehörde als Ansprechpartnerin haben. In Ausnahmefällen kann es mit einer Aufsicht aus einem anderen Mitgliedstaat konfrontiert sein. Ein aktueller Fall zeigt, wie wichtig dann die Rolle des EDSA ist.

Aufnahmen einer Überwachungskamera zeigen, wie jemand eine Straftat begeht. Der Betrieb dieser Kamera verstößt eindeutig gegen die DSGVO. Lassen sich die Aufnahmen trotzdem in einem Strafverfahren als Beweismittel verwenden?

Schadensersatz wegen einer Verletzung des Datenschutzes – das gab es vor der DSGVO so gut wie nie. Inzwischen sieht das deutlich anders aus. Schon die Belästigung durch eine einzige unerlaubte Mail kann einen Schadensersatz in Höhe von 300 € rechtfertigen. Wehe, jemand hat dann 100 solcher unerlaubten Mails verschickt …

Ein Ehepaar hat sich getrennt. Die beiden gemeinsamen Kinder leben bei der Mutter. Wer darf darüber entscheiden, ob Fotos der Kinder im Internet veröffentlicht werden? Die Antwort des Oberlandesgerichts Düsseldorf ist für alle Unternehmen und Vereine wichtig, die auf ihren Internetseiten Bilder von Kindern veröffentlichen. Besonders Sportvereine werden sie aufmerksam lesen.

Ein Einkaufszentrum betreibt eine unzulässige Überwachungskamera auf seinem Parkplatz. Die Datenschutzaufsicht greift ein. Daraufhin legt das Einkaufszentrum die Kamera still. Das reicht der Aufsicht nicht. Sie will, dass die Kamera vollständig abgebaut wird. Reichen ihre Befugnisse dafür aus?

Nur die neuen EU-Standardvertragsklauseln zu verwenden, reicht nicht. Hinzukommen müssen die „ergänzenden Maßnahmen“. Seine Empfehlungen dazu hat der Europäische Datenschutzausschuss (EDSA) nun in einer Endfassung veröffentlicht.

Zu den wesentlichen Neuerungen der DSGVO gehört der Auskunftsanspruch betroffener Personen gemäß Art. 15 DSGVO. Unternehmen, die zur Auskunft verpflichtet sind, versuchen immer wieder, die Auskunft zu begrenzen. Der Bundesgerichtshof (BGH) will davon allerdings nichts wissen.

Facebook hat seinen Hauptsitz in Irland. Die belgische Datenschutzaufsicht ist der Auffassung, dass Facebook DSGVO-Vorschriften verletzt. Sie informiert die irische Aufsichtsbehörde. Die tut nichts. Kann die belgische Aufsichtsbehörde gewissermaßen ersatzweise gegen Facebook vorgehen? Die Antwort des EuGH ist für alle Unternehmen wichtig, die in mehr als einem Mitgliedstaat der EU Daten verarbeiten, nicht etwa nur für große Konzerne.

Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU hat die Europäische Kommission völlig neu gestaltete Standardvertragsklauseln vorgelegt. Erstmals stehen darüber hinaus auch offizielle Standardvertragsklauseln für die Auftragsverarbeitung zur Verfügung.

Unternehmen, die am Markt die Dienstleistung „externer Datenschutzbeauftragter“ anbieten, brauchen typischerweise Juristen. Ist es erlaubt, dass diese Juristen einerseits in einem Arbeitsverhältnis stehen, andererseits als Rechtsanwalt zugelassen sind? Das ist nur scheinbar eine ganz spezielle Frage. Letzten Endes geht es darum, wer den Markt „externer Datenschutzbeauftragter“ unter sich aufteilen darf.

Ein Arbeitgeber plant, für die Verarbeitung der Personaldaten von SAP auf Workday wechseln. Für den Testbetrieb möchte er Echtdaten aus dem SAP-System verwenden. Das Landesarbeitsgericht Baden-Württemberg macht klare Vorgaben, welche Rechtsgrundlage dafür nötig ist.

Rein rechtlich gesehen fiel das Datengeheimnis mit Anwendbarkeit der DSGVO weg. Doch ist es sinnvoll, die Verpflichtung auf das Datengeheimnis aufgrund der Rechenschaftspflicht in angepasster Form beizubehalten. Wir schlagen ein Muster vor.

Sehr öffentlichkeitswirksam hatte der Bundesbeauftragte für den Datenschutz gegen 1&1 eine Geldbuße von 9.550.000 Euro verhängt. Anlass waren Datenschutzverstöße im Callcenter. Beim Amtsgericht Bonn blieben davon weniger als 10 % übrig. Zum Bußgeldkonzept der Datenschutzkonferenz äußert es sich dabei wenig freundlich.

Manchmal bestätigt ein Urteil schlicht das, was man „eigentlich“ schon wusste. Aber gerade darin kann sein besonderer Wert liegen – vor allem, wenn der Europäische Gerichtshof (EuGH) entschieden hat. Der Fall, um den es geht, stammt aus Rumänien. Er könnte sich aber überall in der EU abspielen. Der EuGH nimmt ihn zum Anlass, das Thema „Einwilligung“ genau unter die Lupe zu nehmen.

Jeder hat das Recht, sich bei der Datenschutzaufsicht zu beschweren. Aber was muss man dabei alles darlegen? Und wann kann die Datenschutzaufsicht eine Beschwerde zurückweisen, weil sie zu allgemein gehalten ist?

Gibt die DSGVO jedem Krankenhaus-Patienten einen Anspruch auf eine kostenlose Kopie der Behandlungs-Dokumentation? Spielt es eine Rolle, wenn es ihm nicht um Fragen des Datenschutzes geht, sondern um mögliche Behandlungs-Fehler? Das Landgericht Dresden beantwortet beide Fragen kurz und knapp.

Kann der Arbeitgeber einen Arbeitnehmer gegen dessen Willen verpflichten, bei der Erfassung der Arbeitszeit seinen Fingerabdruck scannen zu lassen? Ein Arbeitnehmer wollte dabei nicht mitspielen. Deshalb kassierte er zwei Abmahnungen. Um sie geht es in einem Rechtsstreit durch zwei Instanzen.

In einem Urteil vom 16. Juli hat der Europäische Gerichtshof (EuGH) die Regelungen des Privacy Shield für nicht mehr anwendbar erklärt. Die Verwendung von Standardvertragsklauseln bei der Übermittlung von Daten in Länder außerhalb der EU (also etwa in die USA) knüpft das Gericht an Voraussetzungen, die voraussichtlich kaum zu erfüllen sind.

Angenommen, der DSB übersieht etwas beim Datenschutz. Kann das eine schuldhafte Pflichtverletzung sein, die seine Abberufung rechtfertigt? Und angenommen, er macht bei seinen Aufgaben außerhalb des Datenschutzes einen Fehler. Kann das zur Abberufung als DSB führen?

Wohl die meisten internen Datenschutzbeauftragten erfüllen noch andere Aufgaben. Und externe sind oft für mehrere Unternehmen tätig. Stets stellt sich die Frage, ob Interessenkonflikte auftreten. Die DSGVO zwingt hier dazu, gewohnte Sichtweisen neu zu bewerten.

Sie sind von einem Verstoß gegen den Datenschutz betroffen und beschweren sich bei der zuständigen Aufsichtsbehörde. Entgegen Ihren Erwartungen verhängt die Datenschutzaufsicht kein Bußgeld gegen den „Missetäter“. Können Sie die Behörde mit dem Ziel verklagen, dass sie aktiv wird?

Über ein Jahr lang las der Inhaber einer Anwaltskanzlei heimlich die E-Mails im persönlichen Mailaccount eines Geschäftspartners. Das Passwort für den Account hatte er sich auf dubiosen Wegen beschafft. 5.000 € Schmerzensgeld sind gewissermaßen der Preis, den er dafür zu zahlen hat.

Der Auskunftsanspruch gemäß Art. 15 DSGVO geht sehr weit. Das gefällt vielen Unternehmen nicht. Im Regelfall bleiben die Gerichte jedoch hart. So auch in diesem Fall eines Versicherers.

Sind Geburtstagslisten zulässig? Und wenn ja, welche Fallstricke sind zu beachten? Diese Fragen gehören zu den Klassikern des „Alltags-Datenschutzes“. Die DSGVO bereichert die Antworten um neue Aspekte.

Wer Meetings zu organisieren hat, geht mit personenbezogenen Daten um. Der Beitrag greift die wichtigsten Punkte auf. Dabei behandelt er klassische Besprechungen, aber auch Telefon- und Videokonferenzen.

Ein DSB sieht sich mit schweren Datenschutzverstößen konfrontiert. Er legt sie der Unternehmensleitung mehrfach dar. Doch es geschieht: nichts. Darf er sich an die Aufsichtsbehörde wenden? Oder muss er es sogar? Die Frage ist strittig. Der Beitrag bezieht klar Position.

Klassenfotos in Jahrbüchern von Schulen sind ein oft diskutiertes Thema. Dabei geht es normalerweise um die Schüler auf diesen Fotos. Aber wie sieht es mit den Lehrern aus? Was ist, wenn ein Lehrer mit seiner Klasse abgebildet ist und er im Nachhinein der Verbreitung dieses Fotos widerspricht?

Eine relativ hohe Zufriedenheit mit der eigenen Datenschutz-Situation prägte noch vor Kurzem das Bewusstsein vieler Krankenhäuser. Dieses Selbstbild hat erhebliche Risse bekommen.

Streitigkeiten zum Thema Videoüberwachung sind bei Eigentümergemeinschaften häufig. Ein Fall aus Rumänien gab dem Europäischen Gerichtshof (EuGH) Gelegenheit, grundsätzliche Ausführungen dazu zu machen. Dabei geht er darauf ein, unter welchen Voraussetzungen eine Videoüberwachung gegen den Willen einzelner Eigentümer möglich ist.

Welche arbeitsrechtlichen Folgen hat es, wenn ein Arbeitgeber die Bestellung eines „Teilzeit-DSB“ widerruft? Ist ein solcher Widerruf möglich, obwohl der DSB schon seit 15 Jahren dienstliche Aufgaben wahrnimmt, die zu einer Interessenkollision führen?

Welche Regeln des Datenschutzes gelten für die Verarbeitung von Fotos Beschäftigter? Nicht weniger als fünf deutsche Aufsichtsbehörden haben sich in ihren aktuellen Tätigkeitsberichten dazu geäußert, teils sogar relativ ausführlich.

Kann der Personalrat verlangen, dass er die Namen der „unterlegenen Bewerber“ bekommt, wenn es zu viele Bewerber gab? Mit seiner Antwort steigt der Bayerische Verwaltungsgerichtshof tief in die DSGVO ein. Dabei arbeitet er deutlich heraus, wo die Unterschiede zwischen dem Personalvertretungs- und dem Betriebsverfassungsrecht liegen. Das macht die Entscheidung auch für die Privatwirtschaft interessant.

Den CLOUD Act kennen viele Datenschutzpraktiker bisher nicht, obwohl er den Zugriff von US-Behörden auf Daten außerhalb der USA regelt. Der Beitrag stellt die wesentlichen Bestimmungen vor und ordnet das Gesetz in einen größeren rechtlichen Zusammenhang ein.

Manchmal reden Urteile bei den entscheidenden Fragen gefühlt um den heißen Brei. Manchmal bieten sie aber auch Klartext. So hier: Das OLG Köln bezieht eindeutig Position zur Frage, ob sich der Auskunftsanspruch nach Art. 15 DSGVO auch auf Gesprächsnotizen und Telefonvermerke erstreckt.

Welchen Grenzen unterliegt der Auskunftsanspruch gemäß Art. 15 DSGVO im Arbeitsverhältnis? Kann der Auskunftsanspruch auch Unterlagen umfassen, die Angaben eines „Hinweisgebers“ enthalten? Kann er sich auch auf die Mails beziehen, die ein Arbeitnehmer geschrieben, gesendet und empfangen hat? Diese Fragen sind Gegenstand eines Urteils des Landesarbeitsgerichts Baden-Württemberg.

Ist es zulässig, Ortung in Firmen­fahrzeugen einzusetzen? Wenn ja, unter welchen Voraussetzungen? Kann ein Beschäftigter darin einwilligen? Dies sind Fragen, mit denen sich das Verwaltungs­gericht Lüneburg auseinandergesetzt hat.

Manchmal führen Fälle, die ziemlich ungewöhnlich sind, zu wichtigen rechtlichen Klarstellungen auch im Datenschutz. Ein gutes Beispiel ist eine aktuelle Entscheidung des EuGH zu einem Fall aus Lettland. Sie macht unter anderem Aussagen dazu, wann eine Verarbeitung eine „ausschließlich persönliche oder familiäre Tätigkeit“ ist.

Welche Rechtsregeln gelten angesichts der DSGVO für Bilder von Personen? Dazu gibt es viele Veröffentlichungen, die teils ziemlich aufgeregt formuliert sind. Der Beitrag stellt im Überblick dar, welche Fragen schon geklärt sind und wo zu Recht noch Streit besteht.

Datenschutz im religiösen Bereich – das scheint nichts, worum sich der normale Datenschützer kümmern muss. Manchmal entscheiden Gerichte allerdings anhand eines solchen Falls Grundsatzfragen von allgemeinem Interesse. Genau das ist bei einer Entscheidung des EuGH der Fall, die sich mit Datenschutzfragen bei den Zeugen Jehovas in Finnland befasst. Die Entscheidung ist so wichtig, dass sie jedem Datenschützer bekannt sein muss.

Die maßgeblichen Rechtsfragen sind sehr abstrakt: Welche rechtlichen Vorgaben enthält die Datenschutz-Grundverordnung (DSGVO) für Fotografien und Videos von Personen? Und wie verhalten sie sich zum nationalen Recht der EU-Mitgliedstaaten? Der konkrete Fall führt dagegen mitten ins alltägliche Leben.

Die „enormen Geldbußen“ der DSGVO sind überall ein Thema. Echte Fakten, Halbwahrheiten und unsinnige Gerüchte mischen sich auf kaum zu entwirrende Weise. Hier finden Sie daher Antworten auf häufige Fragen.

Eine Behörde ist verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen. Als der „eigentliche DSB“ langfristig erkrankt, bestellt sie – ausdrücklich befristet auf sechs Monate – einen „stellvertretenden DSB“. Genießt er denselben Kündigungsschutz wie der „eigentliche DSB“? Das Bundesarbeitsgericht meint: Ja!

Bilder von Menschen stellen personenbezogene Daten dar – und zwar auch dann, wenn der Name des Menschen nicht dabei steht. Darüber herrscht unter Juristen Einigkeit. Aber welche rechtlichen Regeln gelten für den Umgang mit solchen Bildern? Ist die Datenschutz-Grundverordnung (DSGVO) anzuwenden? Oder weiterhin das Kunsturheberrechtsgesetz (KUG)?

Der Datenschutz auf einer Facebook-Fanpage ist nicht ausschließlich das Problem von Facebook. Seit dieser Entscheidung des EuGH herrscht helle Aufregung in Unternehmen, aber auch in Vereinen und anderen Organisationen, die eine Fanpage betreiben. Die Grundsätze, die der EuGH aufgestellt hat, gelten eindeutig auch für die DSGVO. Das macht die Entscheidung auf Jahre hinaus grundlegend wichtig.

Ein Privatmann dokumentiert mehr als zehn Jahre lang über 50.000 Verkehrsverstöße und zeigt sie an. In der Regel fertigt er dabei Fotografien an oder macht Videoaufzeichnungen. Die Datenschutzaufsicht versucht, einzugreifen. Am Ende steht ein gerichtlich bestätigtes Bußgeld von sage und schreibe 250 €. Die Datenschutz-Grundverordnung (DSGVO) wird solche Billigtarife künftig nicht mehr zulassen.

Ein Examensteilnehmer schreibt eine Klausur und fällt durch. Er verlangt Einsicht in seine Bearbeitung und in die Bemerkungen der Prüfer. Das Prüfungsamt verweigert ihm dies: Weder die Bearbeitung der Klausur noch die Bemerkungen seien personenbezogene Daten, die den Prüfungskandidaten betreffen! Was sagt der EuGH dazu?

Jeder, der eine dienstliche E-Mail an seinen privaten Mail-Account weiterleitet, riskiert die fristlose Kündigung. So berichteten manche Medien über das hier vorgestellte Urteil. In Wirklichkeit sagt das Gericht zwar etwas anderes. Aber eine gewisse Vorsicht ist tatsächlich geboten. Das Urteil ist auch unter der DSGVO wichtig.

Ein Vereinsmitglied möchte wissen, wer dem Verein noch angehört. Er bittet den Vorstand um eine Mitgliederliste – vergeblich. Begründung des Vorstands: Das verstößt gegen den Datenschutz! Trifft das zu?

Beschäftigte in Arztpraxen wissen natürlich, wie wichtig die Verschwiegenheit in ihrem Job ist. Sollte man jedenfalls meinen. Was ist dann von einer Arzthelferin zu halten, die es als völlig normal ansieht, ihrer Tochter per WhatsApp Daten über eine Patientin mitzuteilen? Nicht viel, befanden die Gerichte und bestätigten die fristlose Kündigung der Frau.

Sie sind Mitglied eines Vereins. Können Sie verlangen, dass Ihnen Namen und Anschriften sämtlicher Vereinsmitglieder herausgegeben werden? Angenommen, Sie wollen stattdessen die Mailadressen sämtlicher Mitglieder in Form einer Datei. Können Sie auch das verlangen? Was die Gerichte dazu sagen – und was die DSGVO.

Welche Regeln gelten für Ausweiskopien? Wer darf eine Ausweiskopie anfertigen und was gilt für die Verarbeitung von personenbezogenen Daten einer Kopie des Personalausweises oder Reisepasses? Seit dem 15. Juli 2017 gelten die unten aufgeführten Regelungen.

Was eine „Kirrung“ ist, wissen die meisten Menschen spontan wohl nicht. Laut Wikipedia handelt es sich um eine „Lockfütterung“ für Jagdwild. Datenschutzrechtliche Fragen entstehen dann, wenn die Futterstelle mit einer sogenannten „Wildkamera“ ausgestattet ist – und zwar wegen der Menschen, die sich möglicherweise dort aufhalten. Auch wenn es kaum zu glauben scheint: Am Beispiel einer solchen Wildkamera lassen sich einige grundlegende Neuerungen erklären, die sich ab 25. Mai 2018 aus der Datenschutz-Grundverordnung ergeben.

Wie hat zukünftig nach DSGVO eine Benennung zum DSB formal korrekt abzulaufen, und was ist inhaltlich zu beachten? Der Beitrag zeigt dies am Beispiel eines DSB, der als Arbeitnehmer beschäftigt ist und neben der Tätigkeit als DSB andere Arbeiten zu verrichten hat.

Ein Supermarkt will herausfinden, wer im Kassenbereich ständig Waren stiehlt, vor allem Zigaretten. Deshalb installiert er eine Videoüberwachung. Bei der Videoüberwachung fällt zufällig auf, dass Kassiererin C im Zusammenhang mit Pfandflaschen Geld unterschlägt. Lassen sich die Videoaufnahmen als Beweismittel verwenden, um ihr zu kündigen? Und wie sieht es zukünftig unter der DSGVO aus?

Am 1. Februar 2017 hat die Bundesregierung den Entwurf eines „BDSG-neu“ beschlossen. Es soll das bisherige Bundesdatenschutzgesetz (BDSG) ablösen, wenn ab 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) gilt. Schwerpunkte bilden der komplizierte Aufbau des „BDSG-neu“, ohne dessen Kenntnis viele Regelungen nicht einzuordnen sind, ferner die Bußgeldregelungen und Scoring-Vorschriften.

Die Strafvorschriften im Datenschutzrecht stehen nur auf dem Papier. Und Datenschutzverstöße in einer Behörde lassen sich sowieso nie nachweisen – so denken viele. Die Realität sieht jedoch zunehmend anders aus. Das zeigt ein Strafverfahren in Berlin. Eine Mitarbeiterin im Einwohnermeldewesen hatte dort unbefugt Daten abgerufen. Die Folge: eine Geldstrafe von 4.950 Euro! Nebenbei: Ihren Arbeitsplatz hat sie außerdem verloren. Die Entscheidung behält auch dann noch ihre Bedeutung, wenn ab dem 25. Mai 2018 die Datenschutz-Grundverordnung gilt. Die Festlegung strafrechtlicher Sanktionen für Verstöße gegen Datenschutzvorschriften bleibt Sache der Mitgliedstaaten (siehe Art. 84 Abs. 1 DSGVO sowie Erwägungsgrund 149).