Eine Radiologie-Praxis beauftragt einen externen Dienstleister, alle anfallenden Daten für den Abruf durch die Patienten in einer Cloud bereitzuhalten. Eine CD mit seinen Daten bekommt jeder Patient trotzdem nach wie vor. Geht das auch ohne Einwilligung? Die hessische Datenschutzaufsicht stieg tief in die Thematik ein.

„Mit Kirche habe ich nichts am Hut!“ Diesen Satz hört man öfter von Personen, die nie Mitglied einer Kirche waren oder die irgendwann aus einer Kirche ausgetreten sind. Er stimmt allerdings gerade im Datenschutz nur sehr begrenzt.

Das „dritte Geschlecht“ ist auch für Datenschutzbeauftragte (m/w/d/keine Angabe) von Bedeutung. Denn die korrekte Unterscheidung der Geschlechter muss sich in Online-Formularen und Kundendatenbanken widerspiegeln.

Dass eine Lehrkraft manchmal Schwierigkeiten hat, sich die Namen aller Schülerinnen und Schüler zu merken, ist nachvollziehbar. Aber darf sie deshalb alle Schulkinder ihrer Klassen fotografieren und eine Fotodatenbank anlegen? Sie ahnen es: Das gibt Probleme.

Ein Arbeitgeber wollte stets exakt nachprüfen können, wann sich die Fahrzeuge des Unternehmens in den letzten sechs Monaten wo befunden hatten. Die Datenschutzaufsicht verhängte deswegen allerdings eine recht saftige Geldbuße.

Hand aufs Herz: Könnten Sie – jetzt, sofort und gleich – das Passwort für Ihr E-Mail-Postfach ändern? Das wäre die wichtigste Schutzmaßnahme, die Sie bei einem Identitätsdiebstahl ergreifen müssten! Lesen Sie, was Sie sonst noch beherrschen müssen, um gewappnet zu sein.

„Bitte keine Werbung einwerfen!“ Wer dies auf seinen Briefkasten schreibt, hat deutlich formuliert. Aber was ist, wenn die Werbezettel dann künftig in Ritzen und Zwischenräumen der Briefkastenanlage stecken? Kann sich ein Eigentümer oder ein Mieter dagegen rechtlich wehren?

Darf ein früherer Arbeitgeber den jetzigen Arbeitgeber warnen, dass aus seiner Sicht bei einem Beschäftigten einiges nicht stimmt? Und das auch noch von sich aus, ohne jede Nachfrage des jetzigen Arbeitgebers? Während Ihr Puls schneller wird: Lesen Sie, warum das Landesarbeitsgericht Rheinland-Pfalz sich mit solchen Ideen ernsthaft befasst hat.

Nach Ansicht mancher Spötter sind papierlose Büros so selten wie weiße Elefanten. Wie auch immer: Schon wegen diverser Aufbewahrungspflichten gibt es in vielen Unternehmen noch große Aktenberge. Wehe, sie kommen mit Wasser in Berührung und werden unbrauchbar. Dann tauchen erhebliche Datenschutzfragen auf.

Von den vielfältigen Möglichkeiten von Excel wissen die meisten Nutzer kaum etwas. Gerade das kann zu Datenpannen führen. Ein Ratgeber des Bayerischen Landesbeauftragten für den Datenschutz zu diesem Thema lässt sich in weniger als einer halben Stunde durcharbeiten.

Viele Unternehmen überlassen den Beziehern von Werbe-E-Mails die Wahl, wie oft sie solche Nachrichten erhalten wollen. Hat der Mail-Bezieher seine Entscheidung getroffen, muss sich das Unternehmen daran halten. Sonst droht Ärger mit Wettbewerbern.

Wer ohnehin schon großen Schaden hat, darf zusätzlich noch eine Geldbuße zahlen. So erging es einem Unternehmen, das Opfer einer Ransomware-Attacke wurde. Denn die Datenschutzaufsicht konnte dem Unternehmen nachweisen, dass es am Erfolg des Angriffs selbst schuld war. Dass der Fall in Großbritannien spielt, ist ohne Bedeutung. Denn auch dort wendet die Datenschutzaufsicht nach wie vor die DSGVO an.

Das Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO geht sehr weit. Für Erben einer Person wäre es manchmal praktisch, wenn der Auskunftsanspruch dieser Person auf sie übergehen würde. Das ist aber nicht der Fall.

Am 13. Dezember 2022 hat die EU-Kommission den lange erwarteten Entwurf für einen Angemessenheitsbeschluss zu Datenübermittlungen in die USA vorgelegt. Der Beitrag schildert, worauf sich Unternehmen schon jetzt konkret einstellen können und sollten.

Bei „Direktwerbung“ wird eine Person unmittelbar persönlich angesprochen, etwa per Brief, Telefon oder E-Mail. Das geht nicht, ohne Daten dieser Person zu verarbeiten. Ein ausführliches Papier der Datenschutzkonferenz (DSK) stellt dar, was dabei zu beachten ist.

Beim Auskunftsanspruch betroffener Personen nach Art. 15 DSGVO sind viele Fragen offen. In einem wichtigen Punkt hat der Europäische Gerichtshof (EuGH) jetzt Klarheit geschaffen. Betroffene Personen können im Regelfall verlangen, dass der Verantwortliche ihnen ganz genau sagt, an wen er ihre Daten übermittelt hat.

Ein Unternehmen lässt Wirtschaftsprüfer den Datenschutz durchchecken. Die Prüfer melden mehrere angebliche „Hochrisiko-Feststellungen“. Kann das Unternehmen nun den Datenschutzbeauftragten (DSB) vor die Tür setzen?

134 Seiten – so umfangreich ist der Entwurf der EU-Kommission für einen Angemessenheitsbeschluss zum Transatlantic Data Privacy Framework. Da schadet es nicht, einige Wegweiser zu nutzen, um sich zurechtzufinden, etwa die Übersicht über alle Anhänge zum Entwurf.

134 Seiten – so umfangreich ist der Entwurf der EU-Kommission für einen Angemessenheitsbeschluss zum Transatlantic Data Privacy Framework. Da schadet es nicht, einige Wegweiser zu nutzen, um sich zurechtzufinden, etwa die Gliederung zu den Prinzipien des Frameworks.

Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben höchstes fachliches Niveau. Deshalb sollten Sie den neuen Mindeststandard des BSI zur Nutzung externer Cloud-Dienste unbedingt kennen. Sonst drohen gravierende Versäumnisse.

Beim Auskunftsanspruch nach Art. 15 DSGVO ist inzwischen fast alles umstritten. Gleich mehrere Vorlagen nationaler Gerichte geben dem EuGH Gelegenheit, Streitfragen zu klären. Wir präsentieren Ihnen eine Auswahl der wichtigsten Themen, um die es dabei geht.

Ein Unternehmen verletzt die DSGVO erheblich. Rechtfertigt allein das schon eine Geldbuße? Oder muss feststehen, wie es dazu im Einzelnen kam und welche Person konkret etwas falsch gemacht hat? Darüber wird der EuGH in einiger Zeit entscheiden

Bei der Auslegung der DSGVO gibt es noch viele Unklarheiten. Jedes Gericht kann dem Europäischen Gerichtshof dazu Fragen vorlegen. In diesem Beitrag beleuchten wir zwei Vorlageverfahren zur persönlichen Stellung von betrieblichen Datenschutzbeauftragten.

US-Präsident Biden hat eine Anordnung getroffen, die den Forderungen des EuGH aus seiner Schrems-II-Entscheidung entgegenkommen soll. Was genau besagt diese Executive Order?

Manche Gerichtsentscheidungen behandeln Themen, die auf den ersten Blick ausgesprochen speziell wirken. Doch bei näherem Hinsehen enthalten sie Ausführungen, die weit über den Einzelfall hinaus von Bedeutung sind. So hier, wo das Gericht grundsätzliche Ausführungen zum Datenschutzkonzept des Betriebsrats macht.

Wie steht es um das Schutzniveau für personenbezogene Daten, wenn ein Verantwortlicher sie nach Russland übermittelt? Der Europäische Datenschutzaussschuss (EDSA) rät zur Vorsicht.

Wer personenbezogene Daten in die USA übermitteln will, muss einschätzen und dokumentieren, ob US-Behörden möglicherweise auf diese Daten zugreifen. Der jährliche „Transparenzbericht“ der US-Geheimdienste bietet sich dafür als Hilfsmittel an. Er zeigt allerdings auch, wie unterschiedlich sich der Begriff der Transparenz verstehen lässt.

Bei Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) stellt sich die Frage, über welche Qualifikation der Datenschutzbeauftragte (DSB) verfügen muss. Die Anforderungen sind sehr breit gefächert.

Das BDSG gewährt allen betrieblichen Datenschutzbeauftragten (DSB) einen besonderen Schutz vor Kündigung. Die DSGVO schweigt zu diesem Thema. Darf das BDSG dann einen besonderen Kündigungsschutz überhaupt vorsehen? Der Europäische Gerichtshof (EuGH) gibt darauf eine eindeutige Antwort, mit einer überraschenden Differenzierung ganz am Ende.

Über Beteiligungen, teils sehr verschachtelter Art, sind auch viele kleinere Unternehmen in Konzernstrukturen eingebunden. Geht es dann darum, für bestimmte Projekte Personaldaten auszutauschen, ist manches nicht erlaubt, was auf den ersten Blick sinnvoll erscheint.

Der Betreiber eines Fitnessstudios überwacht den gesamten Trainingsbereich mit Videokameras. Eine Kundin beschwert sich darüber bei der Datenschutzaufsicht. Ergebnis: Die Aufsichtsbehörde untersagt die Videoüberwachung. Das liegt auch daran, dass der Betreiber des Studios rechtlich nicht flexibel reagiert hat.

Datenschutz – das hat etwas mit elektronischen Daten zu tun! So denken auch heute noch viele. Sie vergessen dabei, dass gerade die DSGVO Daten auf Papier im Ergebnis voll einbezieht. Das zwingt dazu, diese Art von Daten mehr denn je im Blick zu behalten.

Ihre Krankenkasse schickt Ihnen per Mail Ihre Gesundheitsdaten der letzten drei Jahre zu – doch die Nachricht kommt nie bei Ihnen an. Dafür aufgrund eines Fehlers bei einem anderen Empfänger. Hier kann nach DSGVO Schadensersatz fällig sein.

Viele Datenschutzbeauftragte fragen sich, welche Aufgaben sie nach der Datenschutz-Grundverordnung (DSGVO) eigentlich erfüllen müssen. Die Darstellung konzentriert sich auf die Pflichtaufgaben, die ein DSB in jedem Fall erfüllen muss, und auf die Haftungsfrage.

Inzwischen ist der Auskunftsanspruch nach Art. 15 DSGVO in vielen Unternehmen gefürchtet. Der Beitrag gibt einen Überblick über die Struktur des ­Auskunftsrechts und über Streitfragen. Die neuen Leitlinien des EDSA zum Auskunftsanspruch sind besonders berücksichtigt.

Diebe stehlen einem Finanzdienstleister fast 400.000 Datensätze, die aus Nachlässigkeit Angreifern zugänglich waren. Das könnte das Unternehmen in Form von Schadensersatzzahlungen teuer zu stehen kommen.

Ende Januar 2022 hat die Datenschutzkonferenz (DSK) ein Gutachten veröffentlicht, das sich mit dem „US-Überwachungsrecht“ befasst. Lesen Sie, wie dieses Gutachten einzuordnen ist.

Es hört sich wie ein Märchen an: Jemand zahlt seine Stromrechnung nicht. Ein Gericht verurteilt ihn zur Zahlung. Daraufhin zahlt er doch. Trotzdem geht eine Meldung an die SCHUFA. Deshalb bekommt der Stromkunde jetzt 5.000 Euro Schadensersatz. Doch Vorsicht! Lesen Sie, wo der Teufel im Detail steckt!

Ein Unternehmen soll in der EU nur eine einzige Datenschutzaufsichtsbehörde als Ansprechpartnerin haben. In Ausnahmefällen kann es mit einer Aufsicht aus einem anderen Mitgliedstaat konfrontiert sein. Ein aktueller Fall zeigt, wie wichtig dann die Rolle des EDSA ist.

Aufnahmen einer Überwachungskamera zeigen, wie jemand eine Straftat begeht. Der Betrieb dieser Kamera verstößt eindeutig gegen die DSGVO. Lassen sich die Aufnahmen trotzdem in einem Strafverfahren als Beweismittel verwenden?

Schadensersatz wegen einer Verletzung des Datenschutzes – das gab es vor der DSGVO so gut wie nie. Inzwischen sieht das deutlich anders aus. Schon die Belästigung durch eine einzige unerlaubte Mail kann einen Schadensersatz in Höhe von 300 € rechtfertigen. Wehe, jemand hat dann 100 solcher unerlaubten Mails verschickt …

Ein Ehepaar hat sich getrennt. Die beiden gemeinsamen Kinder leben bei der Mutter. Wer darf darüber entscheiden, ob Fotos der Kinder im Internet veröffentlicht werden? Die Antwort des Oberlandesgerichts Düsseldorf ist für alle Unternehmen und Vereine wichtig, die auf ihren Internetseiten Bilder von Kindern veröffentlichen. Besonders Sportvereine werden sie aufmerksam lesen.

Ein Einkaufszentrum betreibt eine unzulässige Überwachungskamera auf seinem Parkplatz. Die Datenschutzaufsicht greift ein. Daraufhin legt das Einkaufszentrum die Kamera still. Das reicht der Aufsicht nicht. Sie will, dass die Kamera vollständig abgebaut wird. Reichen ihre Befugnisse dafür aus?

Nur die neuen EU-Standardvertragsklauseln zu verwenden, reicht nicht. Hinzukommen müssen die „ergänzenden Maßnahmen“. Seine Empfehlungen dazu hat der Europäische Datenschutzausschuss (EDSA) nun in einer Endfassung veröffentlicht.

Zu den wesentlichen Neuerungen der DSGVO gehört der Auskunftsanspruch betroffener Personen gemäß Art. 15 DSGVO. Unternehmen, die zur Auskunft verpflichtet sind, versuchen immer wieder, die Auskunft zu begrenzen. Der Bundesgerichtshof (BGH) will davon allerdings nichts wissen.

Facebook hat seinen Hauptsitz in Irland. Die belgische Datenschutzaufsicht ist der Auffassung, dass Facebook DSGVO-Vorschriften verletzt. Sie informiert die irische Aufsichtsbehörde. Die tut nichts. Kann die belgische Aufsichtsbehörde gewissermaßen ersatzweise gegen Facebook vorgehen? Die Antwort des EuGH ist für alle Unternehmen wichtig, die in mehr als einem Mitgliedstaat der EU Daten verarbeiten, nicht etwa nur für große Konzerne.

Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU hat die Europäische Kommission völlig neu gestaltete Standardvertragsklauseln vorgelegt. Erstmals stehen darüber hinaus auch offizielle Standardvertragsklauseln für die Auftragsverarbeitung zur Verfügung.

Das Landgericht Bonn reduziert eine DSGVO-Geldbuße gegen 1&1 von 9.550.000 € auf 900.000 €. Das Landgericht Berlin kassiert eine Millionen-Geldbuße der Berliner Datenschutzaufsicht gegen das Unternehmen Deutsche Wohnen gleich ganz. Wie ist das einzusortieren?

Unternehmen, die am Markt die Dienstleistung „externer Datenschutzbeauftragter“ anbieten, brauchen typischerweise Juristen. Ist es erlaubt, dass diese Juristen einerseits in einem Arbeitsverhältnis stehen, andererseits als Rechtsanwalt zugelassen sind? Das ist nur scheinbar eine ganz spezielle Frage. Letzten Endes geht es darum, wer den Markt „externer Datenschutzbeauftragter“ unter sich aufteilen darf.

Ein Arbeitgeber plant, für die Verarbeitung der Personaldaten von SAP auf Workday wechseln. Für den Testbetrieb möchte er Echtdaten aus dem SAP-System verwenden. Das Landesarbeitsgericht Baden-Württemberg macht klare Vorgaben, welche Rechtsgrundlage dafür nötig ist.

Rein rechtlich gesehen fiel das Datengeheimnis mit Anwendbarkeit der DSGVO weg. Doch ist es sinnvoll, die Verpflichtung auf das Datengeheimnis aufgrund der Rechenschaftspflicht in angepasster Form beizubehalten. Wir schlagen ein Muster vor.

Sehr öffentlichkeitswirksam hatte der Bundesbeauftragte für den Datenschutz gegen 1&1 eine Geldbuße von 9.550.000 Euro verhängt. Anlass waren Datenschutzverstöße im Callcenter. Beim Amtsgericht Bonn blieben davon weniger als 10 % übrig. Zum Bußgeldkonzept der Datenschutzkonferenz äußert es sich dabei wenig freundlich.

Manchmal bestätigt ein Urteil schlicht das, was man „eigentlich“ schon wusste. Aber gerade darin kann sein besonderer Wert liegen – vor allem, wenn der Europäische Gerichtshof (EuGH) entschieden hat. Der Fall, um den es geht, stammt aus Rumänien. Er könnte sich aber überall in der EU abspielen. Der EuGH nimmt ihn zum Anlass, das Thema „Einwilligung“ genau unter die Lupe zu nehmen.

Jeder hat das Recht, sich bei der Datenschutzaufsicht zu beschweren. Aber was muss man dabei alles darlegen? Und wann kann die Datenschutzaufsicht eine Beschwerde zurückweisen, weil sie zu allgemein gehalten ist?

In der Entscheidung „Schrems II“ hält der EuGH Datenübermittlungen in die USA auf Basis der EU-Standardvertragsklauseln weiterhin für möglich. Allerdings fordert er „zusätzliche Maßnahmen“. Der Beitrag diskutiert, was das Gericht damit meinen könnte.

Gibt die DSGVO jedem Krankenhaus-Patienten einen Anspruch auf eine kostenlose Kopie der Behandlungs-Dokumentation? Spielt es eine Rolle, wenn es ihm nicht um Fragen des Datenschutzes geht, sondern um mögliche Behandlungs-Fehler? Das Landgericht Dresden beantwortet beide Fragen kurz und knapp.

Die EuGH-Entscheidung „Schrems II“ hat den Privacy Shield über Nacht gekippt. Das führt zu der Frage, welche Wege noch offen­bleiben, um personenbezogene Daten rechtssicher in die USA zu übermitteln. Die Möglichkeiten hierfür sind recht begrenzt.

Kann der Arbeitgeber einen Arbeitnehmer gegen dessen Willen verpflichten, bei der Erfassung der Arbeitszeit seinen Fingerabdruck scannen zu lassen? Ein Arbeitnehmer wollte dabei nicht mitspielen. Deshalb kassierte er zwei Abmahnungen. Um sie geht es in einem Rechtsstreit durch zwei Instanzen.

In einem Urteil vom 16. Juli hat der Europäische Gerichtshof (EuGH) die Regelungen des Privacy Shield für nicht mehr anwendbar erklärt. Die Verwendung von Standardvertragsklauseln bei der Übermittlung von Daten in Länder außerhalb der EU (also etwa in die USA) knüpft das Gericht an Voraussetzungen, die voraussichtlich kaum zu erfüllen sind.

Angenommen, der DSB übersieht etwas beim Datenschutz. Kann das eine schuldhafte Pflichtverletzung sein, die seine Abberufung rechtfertigt? Und angenommen, er macht bei seinen Aufgaben außerhalb des Datenschutzes einen Fehler. Kann das zur Abberufung als DSB führen?

Wohl die meisten internen Datenschutzbeauftragten erfüllen noch andere Aufgaben. Und externe sind oft für mehrere Unternehmen tätig. Stets stellt sich die Frage, ob Interessenkonflikte auftreten. Die DSGVO zwingt hier dazu, gewohnte Sichtweisen neu zu bewerten.

Sie sind von einem Verstoß gegen den Datenschutz betroffen und beschweren sich bei der zuständigen Aufsichtsbehörde. Entgegen Ihren Erwartungen verhängt die Datenschutzaufsicht kein Bußgeld gegen den „Missetäter“. Können Sie die Behörde mit dem Ziel verklagen, dass sie aktiv wird?

Der Auskunftsanspruch gehört zu den zentralen Rechten der betroffenen Person. Seine Durchsetzung erfolgt im Alltag der „Gerichte erster Instanz“. Eine Kette von vier gerichtlichen Entscheidungen zeigt, womit Verantwortliche rechnen müssen.

Über ein Jahr lang las der Inhaber einer Anwaltskanzlei heimlich die E-Mails im persönlichen Mailaccount eines Geschäftspartners. Das Passwort für den Account hatte er sich auf dubiosen Wegen beschafft. 5.000 € Schmerzensgeld sind gewissermaßen der Preis, den er dafür zu zahlen hat.

Der Auskunftsanspruch gemäß Art. 15 DSGVO geht sehr weit. Das gefällt vielen Unternehmen nicht. Im Regelfall bleiben die Gerichte jedoch hart. So auch in diesem Fall eines Versicherers.

Sind Geburtstagslisten zulässig? Und wenn ja, welche Fallstricke sind zu beachten? Diese Fragen gehören zu den Klassikern des „Alltags-Datenschutzes“. Die DSGVO bereichert die Antworten um neue Aspekte.

Wer Meetings zu organisieren hat, geht mit personenbezogenen Daten um. Der Beitrag greift die wichtigsten Punkte auf. Dabei behandelt er klassische Besprechungen, aber auch Telefon- und Videokonferenzen.

Ein DSB sieht sich mit schweren Datenschutzverstößen konfrontiert. Er legt sie der Unternehmensleitung mehrfach dar. Doch es geschieht: nichts. Darf er sich an die Aufsichtsbehörde wenden? Oder muss er es sogar? Die Frage ist strittig. Der Beitrag bezieht klar Position.

Klassenfotos in Jahrbüchern von Schulen sind ein oft diskutiertes Thema. Dabei geht es normalerweise um die Schüler auf diesen Fotos. Aber wie sieht es mit den Lehrern aus? Was ist, wenn ein Lehrer mit seiner Klasse abgebildet ist und er im Nachhinein der Verbreitung dieses Fotos widerspricht?

Eine relativ hohe Zufriedenheit mit der eigenen Datenschutz-Situation prägte noch vor Kurzem das Bewusstsein vieler Krankenhäuser. Dieses Selbstbild hat erhebliche Risse bekommen.

Streitigkeiten zum Thema Videoüberwachung sind bei Eigentümergemeinschaften häufig. Ein Fall aus Rumänien gab dem Europäischen Gerichtshof (EuGH) Gelegenheit, grundsätzliche Ausführungen dazu zu machen. Dabei geht er darauf ein, unter welchen Voraussetzungen eine Videoüberwachung gegen den Willen einzelner Eigentümer möglich ist.

Welche arbeitsrechtlichen Folgen hat es, wenn ein Arbeitgeber die Bestellung eines „Teilzeit-DSB“ widerruft? Ist ein solcher Widerruf möglich, obwohl der DSB schon seit 15 Jahren dienstliche Aufgaben wahrnimmt, die zu einer Interessenkollision führen?

Welche Regeln des Datenschutzes gelten für die Verarbeitung von Fotos Beschäftigter? Nicht weniger als fünf deutsche Aufsichtsbehörden haben sich in ihren aktuellen Tätigkeitsberichten dazu geäußert, teils sogar relativ ausführlich.

Ein Beschäftigter kann an seinem Arbeitsplatz auf Daten von Kunden zugreifen. Das missbraucht er für rein private Zwecke. Kann die Aufsichtsbehörde deshalb gegen ihn ein Bußgeld verhängen?

„Cookies sind künftig nur noch mit Einwilligung zulässig.“ Solche und ähnliche Überschriften konnte man in den letzten Tagen vielfach lesen. Angeblich hat der EuGH das so entschieden. Die Realität ist freilich komplexer, und es lohnt sich, die Entscheidung näher zu betrachten.

Kann der Personalrat verlangen, dass er die Namen der „unterlegenen Bewerber“ bekommt, wenn es zu viele Bewerber gab? Mit seiner Antwort steigt der Bayerische Verwaltungsgerichtshof tief in die DSGVO ein. Dabei arbeitet er deutlich heraus, wo die Unterschiede zwischen dem Personalvertretungs- und dem Betriebsverfassungsrecht liegen. Das macht die Entscheidung auch für die Privatwirtschaft interessant.

Den CLOUD Act kennen viele Datenschutzpraktiker bisher nicht, obwohl er den Zugriff von US-Behörden auf Daten außerhalb der USA regelt. Der Beitrag stellt die wesentlichen Bestimmungen vor und ordnet das Gesetz in einen größeren rechtlichen Zusammenhang ein.

Manchmal reden Urteile bei den entscheidenden Fragen gefühlt um den heißen Brei. Manchmal bieten sie aber auch Klartext. So hier: Das OLG Köln bezieht eindeutig Position zur Frage, ob sich der Auskunftsanspruch nach Art. 15 DSGVO auch auf Gesprächsnotizen und Telefonvermerke erstreckt.

Kann ein Betroffener darin einwilligen, dass notwendige Maßnahmen der Datensicherheit unterbleiben? Kann er etwa generell darauf verzichten, dass per E-Mail übermittelte Daten verschlüsselt werden?

Welchen Grenzen unterliegt der Auskunftsanspruch gemäß Art. 15 DSGVO im Arbeitsverhältnis? Kann der Auskunftsanspruch auch Unterlagen umfassen, die Angaben eines „Hinweisgebers“ enthalten? Kann er sich auch auf die Mails beziehen, die ein Arbeitnehmer geschrieben, gesendet und empfangen hat? Diese Fragen sind Gegenstand eines Urteils des Landesarbeitsgerichts Baden-Württemberg.

Ist es zulässig, Ortung in Firmen­fahrzeugen einzusetzen? Wenn ja, unter welchen Voraussetzungen? Kann ein Beschäftigter darin einwilligen? Dies sind Fragen, mit denen sich das Verwaltungs­gericht Lüneburg auseinandergesetzt hat.

Manchmal führen Fälle, die ziemlich ungewöhnlich sind, zu wichtigen rechtlichen Klarstellungen auch im Datenschutz. Ein gutes Beispiel ist eine aktuelle Entscheidung des EuGH zu einem Fall aus Lettland. Sie macht unter anderem Aussagen dazu, wann eine Verarbeitung eine „ausschließlich persönliche oder familiäre Tätigkeit“ ist.

Könnte Ihr Unternehmen im Fall der Fälle – nämlich bei einer entsprechenden Anfrage der Datenschutzaufsicht – die nötigen Antworten geben? Ein Fragebogen hilft dabei, das besser einzuschätzen.

Welche Rechtsregeln gelten angesichts der DSGVO für Bilder von Personen? Dazu gibt es viele Veröffentlichungen, die teils ziemlich aufgeregt formuliert sind. Der Beitrag stellt im Überblick dar, welche Fragen schon geklärt sind und wo zu Recht noch Streit besteht.

Datenschutz im religiösen Bereich – das scheint nichts, worum sich der normale Datenschützer kümmern muss. Manchmal entscheiden Gerichte allerdings anhand eines solchen Falls Grundsatzfragen von allgemeinem Interesse. Genau das ist bei einer Entscheidung des EuGH der Fall, die sich mit Datenschutzfragen bei den Zeugen Jehovas in Finnland befasst. Die Entscheidung ist so wichtig, dass sie jedem Datenschützer bekannt sein muss.

Wer sich zum ersten Mal an einem EuGH-Urteil versucht, ist oft der Verzweiflung nahe. Alles wirkt noch schwieriger und unübersichtlicher als bei den Urteilen deutscher Gerichte. Lesen Sie anhand eines Beispiels, wie Sie mit dieser Herausforderung zurechtkommen.

„Externe DSB können nicht als Rechtsanwalt zugelassen sein.“ Solche Äußerungen hat eine Entscheidung des BGH vom 2. Juli 2018 ausgelöst. Sie betrifft jedoch nur „Syndikus-Anwälte“. Was ist das eigentlich? Und wann kann ein externer DSB nun als Rechtsanwalt zugelassen sein?

Die maßgeblichen Rechtsfragen sind sehr abstrakt: Welche rechtlichen Vorgaben enthält die Datenschutz-Grundverordnung (DSGVO) für Fotografien und Videos von Personen? Und wie verhalten sie sich zum nationalen Recht der EU-Mitgliedstaaten? Der konkrete Fall führt dagegen mitten ins alltägliche Leben.

Die „enormen Geldbußen“ der DSGVO sind überall ein Thema. Echte Fakten, Halbwahrheiten und unsinnige Gerüchte mischen sich auf kaum zu entwirrende Weise. Hier finden Sie daher Antworten auf häufige Fragen.

Eine Behörde ist verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen. Als der „eigentliche DSB“ langfristig erkrankt, bestellt sie – ausdrücklich befristet auf sechs Monate – einen „stellvertretenden DSB“. Genießt er denselben Kündigungsschutz wie der „eigentliche DSB“? Das Bundesarbeitsgericht meint: Ja!

Bilder von Menschen stellen personenbezogene Daten dar – und zwar auch dann, wenn der Name des Menschen nicht dabei steht. Darüber herrscht unter Juristen Einigkeit. Aber welche rechtlichen Regeln gelten für den Umgang mit solchen Bildern? Ist die Datenschutz-Grundverordnung (DSGVO) anzuwenden? Oder weiterhin das Kunsturheberrechtsgesetz (KUG)?

Der Datenschutz auf einer Facebook-Fanpage ist nicht ausschließlich das Problem von Facebook. Seit dieser Entscheidung des EuGH herrscht helle Aufregung in Unternehmen, aber auch in Vereinen und anderen Organisationen, die eine Fanpage betreiben. Die Grundsätze, die der EuGH aufgestellt hat, gelten eindeutig auch für die DSGVO. Das macht die Entscheidung auf Jahre hinaus grundlegend wichtig.

„Nicht ernsthaft, oder?“ So lautete ein noch halbwegs freundlicher Kommentar zu einem Dokument, das alle Sprachfassungen der DSGVO umfassend korrigiert. Und dies wenige Tage, bevor die DSGVO ab 25. Mai 2018 allgemein gilt. Geht so etwas überhaupt? Und welche praktischen Schwierigkeiten ergeben sich daraus?

Ein Privatmann dokumentiert mehr als zehn Jahre lang über 50.000 Verkehrsverstöße und zeigt sie an. In der Regel fertigt er dabei Fotografien an oder macht Videoaufzeichnungen. Die Datenschutzaufsicht versucht, einzugreifen. Am Ende steht ein gerichtlich bestätigtes Bußgeld von sage und schreibe 250 €. Die Datenschutz-Grundverordnung (DSGVO) wird solche Billigtarife künftig nicht mehr zulassen.

Nur 20 % aller Internetnutzer haben irgendwie geregelt, was nach ihrem Tod mit den Accounts bei Facebook, WhatsApp, Threema und ähnlichen Diensten geschehen soll. Manchmal geht dieses nachlässige Verhalten gut, immer öfter jedoch nicht mehr. Sorgen Sie daher vor.

Ein Examensteilnehmer schreibt eine Klausur und fällt durch. Er verlangt Einsicht in seine Bearbeitung und in die Bemerkungen der Prüfer. Das Prüfungsamt verweigert ihm dies: Weder die Bearbeitung der Klausur noch die Bemerkungen seien personenbezogene Daten, die den Prüfungskandidaten betreffen! Was sagt der EuGH dazu?

Jeder, der eine dienstliche E-Mail an seinen privaten Mail-Account weiterleitet, riskiert die fristlose Kündigung. So berichteten manche Medien über das hier vorgestellte Urteil. In Wirklichkeit sagt das Gericht zwar etwas anderes. Aber eine gewisse Vorsicht ist tatsächlich geboten. Das Urteil ist auch unter der DSGVO wichtig.

Die Europäische Kommission, Generaldirektion, Justiz und Verbraucher, hat am 9. Januar 2018 ein Papier online gestellt, das sich mit den Folgen des Brexit für den Datenschutz beim Transfer von Daten in das Vereinigte Königreich befasst. Es muss allen DSBs bekannt sein, deren Unternehmen Daten ins Vereinigte Königreich transferieren oder dies in Zukunft beabsichtigen. Wie ist das Papier einzuordnen?

Ein Vereinsmitglied möchte wissen, wer dem Verein noch angehört. Er bittet den Vorstand um eine Mitgliederliste – vergeblich. Begründung des Vorstands: Das verstößt gegen den Datenschutz! Trifft das zu?

Beschäftigte in Arztpraxen wissen natürlich, wie wichtig die Verschwiegenheit in ihrem Job ist. Sollte man jedenfalls meinen. Was ist dann von einer Arzthelferin zu halten, die es als völlig normal ansieht, ihrer Tochter per WhatsApp Daten über eine Patientin mitzuteilen? Nicht viel, befanden die Gerichte und bestätigten die fristlose Kündigung der Frau.

Sie sind Mitglied eines Vereins. Können Sie verlangen, dass Ihnen Namen und Anschriften sämtlicher Vereinsmitglieder herausgegeben werden? Angenommen, Sie wollen stattdessen die Mailadressen sämtlicher Mitglieder in Form einer Datei. Können Sie auch das verlangen? Was die Gerichte dazu sagen – und was die DSGVO.

Welche Regeln gelten für Ausweiskopien? Wer darf eine Ausweiskopie anfertigen und was gilt für die Verarbeitung von personenbezogenen Daten einer Kopie des Personalausweises oder Reisepasses? Seit dem 15. Juli 2017 gelten die unten aufgeführten Regelungen.

Was eine „Kirrung“ ist, wissen die meisten Menschen spontan wohl nicht. Laut Wikipedia handelt es sich um eine „Lockfütterung“ für Jagdwild. Datenschutzrechtliche Fragen entstehen dann, wenn die Futterstelle mit einer sogenannten „Wildkamera“ ausgestattet ist – und zwar wegen der Menschen, die sich möglicherweise dort aufhalten. Auch wenn es kaum zu glauben scheint: Am Beispiel einer solchen Wildkamera lassen sich einige grundlegende Neuerungen erklären, die sich ab 25. Mai 2018 aus der Datenschutz-Grundverordnung ergeben.

Wie hat zukünftig nach DSGVO eine Benennung zum DSB formal korrekt abzulaufen, und was ist inhaltlich zu beachten? Der Beitrag zeigt dies am Beispiel eines DSB, der als Arbeitnehmer beschäftigt ist und neben der Tätigkeit als DSB andere Arbeiten zu verrichten hat.

Ein Supermarkt will herausfinden, wer im Kassenbereich ständig Waren stiehlt, vor allem Zigaretten. Deshalb installiert er eine Videoüberwachung. Bei der Videoüberwachung fällt zufällig auf, dass Kassiererin C im Zusammenhang mit Pfandflaschen Geld unterschlägt. Lassen sich die Videoaufnahmen als Beweismittel verwenden, um ihr zu kündigen? Und wie sieht es zukünftig unter der DSGVO aus?

„Da ist alles so abstrakt, dass ich gar nicht weiß, was genau zu tun ist.“ So lautet ein häufiger Stoßseufzer, kommt die Sprache auf die Datenschutz-Grundverordnung (DSGVO). Sicher steckt darin ein wahrer Kern. Möglicherweise stellt sich aber Vieles anders dar, wenn man einmal fragt: Welche Schwerpunkte setzt die Grundverordnung denn völlig anders als das Bundesdatenschutzgesetz (BDSG)?

Am 1. Februar 2017 hat die Bundesregierung den Entwurf eines „BDSG-neu“ beschlossen. Es soll das bisherige Bundesdatenschutzgesetz (BDSG) ablösen, wenn ab 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) gilt. Schwerpunkte bilden der komplizierte Aufbau des „BDSG-neu“, ohne dessen Kenntnis viele Regelungen nicht einzuordnen sind, ferner die Bußgeldregelungen und Scoring-Vorschriften.

Die Datenschutz-Grundverordnung (DSGVO) sichert die Stellung des betrieblichen Datenschutzbeauftragten, und zu Sorgen besteht kein Anlass. So hört man es oft, und das trifft auch zu – jedenfalls im Prinzip. Eine Orientierungshilfe der Gruppe nach Art. 29 vom 13. Dezember 2016 zeigt jedoch, dass sich trotzdem einige neue Perspektiven ergeben. Jeder DSB sollte sich damit befassen. Sonst läuft er Gefahr, persönliche Chancen nicht zu erkennen und sie zu versäumen.

Die Strafvorschriften im Datenschutzrecht stehen nur auf dem Papier. Und Datenschutzverstöße in einer Behörde lassen sich sowieso nie nachweisen – so denken viele. Die Realität sieht jedoch zunehmend anders aus. Das zeigt ein Strafverfahren in Berlin. Eine Mitarbeiterin im Einwohnermeldewesen hatte dort unbefugt Daten abgerufen. Die Folge: eine Geldstrafe von 4.950 Euro! Nebenbei: Ihren Arbeitsplatz hat sie außerdem verloren. Die Entscheidung behält auch dann noch ihre Bedeutung, wenn ab dem 25. Mai 2018 die Datenschutz-Grundverordnung gilt. Die Festlegung strafrechtlicher Sanktionen für Verstöße gegen Datenschutzvorschriften bleibt Sache der Mitgliedstaaten (siehe Art. 84 Abs. 1 DSGVO sowie Erwägungsgrund 149).