Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) prüfte Anfang 2025 mehrere Hamburger Onlineshops und stellte fest, dass ein großes Bekleidungsversandhaus ausschließlich Bestellungen über ein dauerhaftes Kundenkonto ermöglichte. Da dies gegen das Datenschutzprinzip der Datenminimierung gemäß Artikel 5 Absatz 1 lit. c DS-GVO verstößt, forderte die Behörde die Einführung einer Gastbestelloption. Das Unternehmen setzte die

Der Europäische Datenschutzausschuss (EDSA) hat seine koordinierte Durchsetzungsmaßnahme für das Jahr 2025 gestartet. Im Rahmen des „Coordinated Enforcement Framework“ (CEF) wird in diesem Jahr die Umsetzung des Rechts auf Löschung nach Art. 17 DS-GVO untersucht. Deutschland beteiligt sich mit mehreren Landesdatenschutzbehörden an dieser Initiative, die insgesamt 32 europäische Datenschutzaufsichtsbehörden umfasst. Ziel und Methodik der Untersuchung

Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Erhebung von Anrede-Daten („Herr“ oder „Frau“) durch Unternehmen im Rahmen der geschäftlichen Kommunikation nicht zwingend erforderlich ist. Dies gilt auch dann, wenn die Angabe zur Personalisierung der Kundenansprache dient. Die Praxis kann gegen den Grundsatz der Datenminimierung gemäß der Datenschutz-Grundverordnung (DSGVO) verstoßen (EuGH, Urteil vom 9. Januar

Das am 2. Juli 2023 in Kraft getretene Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen und öffentliche Stellen seit dem 17. Dezember 2023 zur Umsetzung der darin festgelegten Bestimmungen. Ziel des Gesetzes ist es, hinweisgebende Personen – sogenannte Whistleblower – vor negativen Konsequenzen wie Kündigungen oder anderen beruflichen Benachteiligungen zu schützen, wenn sie Verstöße oder Missstände melden, die

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat in seiner Aktuellen Kurz-Information 57 (AKI 57) darauf hingewiesen, dass Verantwortliche bei Datenpannen, insbesondere nach Hackerangriffen, nicht nur die Meldepflichten gemäß der Datenschutz-Grundverordnung (DS-GVO) berücksichtigen sollten, sondern auch weitere Mitteilungspflichten außerhalb der DS-GVO. Eine Strafanzeige kann dabei als sinnvolle technisch-organisatorische Maßnahme angesehen werden. Meldepflichten gemäß DS-GVOÖffentliche Stellen

Verantwortliche Stellen sind verpflichtet, Datenschutzverletzungen, die zu unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten führen, den Aufsichtsbehörden zu melden (Art. 33 DS-GVO). Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat dabei wiederkehrende Muster identifiziert, die zu solchen Datenpannen führen. 1. Schulen und Kindertagesstätten In pädagogischen Einrichtungen werden vielfältige personenbezogene Daten verarbeitet, darunter Stammdaten, Verhaltensbeurteilungen,