Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Erhebung von Anrede-Daten („Herr“ oder „Frau“) durch Unternehmen im Rahmen der geschäftlichen Kommunikation nicht zwingend erforderlich ist. Dies gilt auch dann, wenn die Angabe zur Personalisierung der Kundenansprache dient. Die Praxis kann gegen den Grundsatz der Datenminimierung gemäß der Datenschutz-Grundverordnung (DSGVO) verstoßen (EuGH, Urteil vom 9. Januar

Das am 2. Juli 2023 in Kraft getretene Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen und öffentliche Stellen seit dem 17. Dezember 2023 zur Umsetzung der darin festgelegten Bestimmungen. Ziel des Gesetzes ist es, hinweisgebende Personen – sogenannte Whistleblower – vor negativen Konsequenzen wie Kündigungen oder anderen beruflichen Benachteiligungen zu schützen, wenn sie Verstöße oder Missstände melden, die

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat in seiner Aktuellen Kurz-Information 57 (AKI 57) darauf hingewiesen, dass Verantwortliche bei Datenpannen, insbesondere nach Hackerangriffen, nicht nur die Meldepflichten gemäß der Datenschutz-Grundverordnung (DS-GVO) berücksichtigen sollten, sondern auch weitere Mitteilungspflichten außerhalb der DS-GVO. Eine Strafanzeige kann dabei als sinnvolle technisch-organisatorische Maßnahme angesehen werden. Meldepflichten gemäß DS-GVOÖffentliche Stellen

Verantwortliche Stellen sind verpflichtet, Datenschutzverletzungen, die zu unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten führen, den Aufsichtsbehörden zu melden (Art. 33 DS-GVO). Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat dabei wiederkehrende Muster identifiziert, die zu solchen Datenpannen führen. 1. Schulen und Kindertagesstätten In pädagogischen Einrichtungen werden vielfältige personenbezogene Daten verarbeitet, darunter Stammdaten, Verhaltensbeurteilungen,

Der sogenannte „Speicherbegrenzungsgrundsatz“ verpflichtet Unternehmen Daten zu löschen, sobald sie für die ursprünglich festgelegten Verarbeitungszwecke nicht mehr benötigt werden. Basis ist die Festlegung von Löschfristen in einem Löschkonzept. Daten/-kategorien sind gesetzlichen Aufbewahrungsfristen zuzuordnen, der Aufbewahrungsort ist zu nennen. Ferner ist eine verantwortliche Person für die Aufbewahrung und Löschung zu benennen. Auch der Nachweis des Löschvorgangs

Die Entbürokratisierung des Datenschutzes steht kurz vor der Bundestagswahl 2025 oben auf der politischen Agenda. Anfang 2025 wurden zwei Referentenentwürfe zum Datenrecht vorgelegt. Erfüllen der „Entwurf des Gesetzes zur Umsetzung der KI-Verordnung“ und der Entwurf des „Data Act-Durchführungsgesetzes“ dieses Ziel oder schaffen sie gar zusätzliche Bürokratie? Soll sich die neue Bundesregierung mit einem nationalen „Datengesetz“