EDSA - Leitlinie zum berechtigten Interesse

Eine zentrale Bestimmung ist Art. 6 Abs. 1 DS-GVO, der die verschiedenen Rechtsgrundlagen für die Datenverarbeitung aufzählt. Insbesondere das „berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DS-GVO bietet eine „flexible“ Grundlage zur Datenverarbeitung auch ohne ausdrückliche Einwilligung der betroffenen Person, sofern das Interesse des Verantwortlichen oder eines Dritten nicht durch die Interessen oder Grundrechte der betroffenen Person überwogen wird.

Die Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union bildet die Grundlage des europäischen Datenschutzrechts und regelt die Voraussetzungen für die rechtmäßige Verarbeitung personenbezogener Daten. Eine zentrale Bestimmung ist Art. 6 Abs. 1 DS-GVO, der die verschiedenen Rechtsgrundlagen für die Datenverarbeitung aufzählt. Insbesondere das berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DS-GVO bietet eine „flexible“ Grundlage zur Datenverarbeitung auch ohne ausdrückliche Einwilligung der betroffenen Person, sofern das Interesse des Verantwortlichen oder eines Dritten nicht durch die Interessen oder Grundrechte der betroffenen Person überwogen wird. Die Anwendung dieser Rechtsgrundlage erfordert jedoch eine sorgfältige Abwägung, da die Rechte und Freiheiten der betroffenen Personen stets gewahrt bleiben müssen.

Um Verantwortlichen eine klare Orientierung zu bieten, hat der Europäische Datenschutzausschuss (EDSA) am 08.10. 2024 die Leitlinien 1/2024 zur Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO veröffentlicht. Diese Leitlinien erläutern die Voraussetzungen und Grenzen der Anwendung des berechtigten Interesses in der Praxis. Im Folgenden werden die zentralen Aspekte dieser Leitlinien vorgestellt, um zu verdeutlichen, wann und wie das berechtigte Interesse als Rechtsgrundlage herangezogen werden kann und welche Anforderungen dabei zu beachten sind.

Gleichrangigkeit der Erlaubnistatbestände

Der EDSA hebt hervor, dass die Anwendung des Erlaubnistatbestands nach Art. 6 Abs. 1 lit. f DS-GVO eine sorgfältige Abwägung der geplanten Verarbeitung voraussetzt. Dabei sollte der „offene Charakter“ des berechtigten Interesses weder als „letztes Mittel“ für seltene und unvorhersehbare Situationen verstanden werden, noch sollte es von Verantwortlichen bevorzugt genutzt werden, um spezifische rechtliche Anforderungen zu umgehen oder weil es als weniger restriktiv empfunden wird als die übrigen Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO. Vielmehr sollen die Verantwortlichen alle Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO als gleichwertige Optionen betrachten.

Eine Verarbeitung beruht auf einem berechtigten Interesse gem. Art. 6 Abs. 1 lit. f DS-GVO, wenn drei kumulative Bedingungen erfüllt sind:

  1. Die Verarbeitung muss der Verfolgung berechtigter Interessen des Verantwortlichen oder eines Dritten dienen. 
  2. Die Verarbeitung der personenbezogenen Daten muss für diese Zwecke „notwendig“ sein. 
  3. Die Interessen oder Grundfreiheiten und Rechte der betroffenen Person dürfen keinen Vorrang vor den berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten haben. 

Berechtigte Interessen

Ein Interesse bezeichnet den umfassenden Nutzen, den ein für die Verarbeitung Verantwortlicher oder Dritte aus einer bestimmten Verarbeitungstätigkeit ziehen kann. Ein Beispiel hierfür ist das Interesse an der Vermarktung von Produkten, das durch die Verarbeitung personenbezogener Daten für Direktmarketing gefördert wird. 

Ein Interesse gilt als "legitim", wenn folgende Kriterien erfüllt sind:

  • Es ist rechtmäßig und verstößt nicht gegen EU-Recht oder nationales Recht, auch wenn es nicht explizit gesetzlich verankert sein muss. 
    Bsp.: Die Verarbeitung personenbezogener Daten für Zwecke des Direktmarketings ist grds. ein legitimes Interesse. Soll das Direktmarketing hingegen Werbung für E-Zigaretten zum Gegenstand haben, ist das verfolgte Interesse nicht legitim, da Werbung für solche Erzeugnisse nach EU-Recht verboten ist.
  • Es ist klar definiert, damit es angemessen gegen die Rechte und Interessen der betroffenen Person abgewogen werden kann.
    Bsp.: Wenn eine Nachbarschaftsvereinigung plant Videoüberwachung auf den Straßen einzuführen mit dem Zweck „Zum Wohle der Gemeinschaft“, so ist dies kein hinreichend bestimmter Zweck. Werden hingegen Aspekte mit berücksichtigt wie vorangegangene Hauseinbrüche oder Sachbeschädigungen, könnte der Schutz des Eigentums ein legitimes Interesse im dargelegten Beispiel sein.
  • Es ist konkret und aktuell, d. h., es darf nicht spekulativ oder hypothetisch sein, sondern muss zum Zeitpunkt der Verarbeitung tatsächlich bestehen.
    Bsp.: Das Vorhalten von Kundendaten für den grundsätzlichen Plan, in Zukunft Produkte zu entwickeln, welche für diese Kunden von Interesse sein könnten, ist damit nicht legitim. Ist der Plan für die Produkteinführung hingegen konkret, wie es beispielsweise bei einem feststehendem Release-Datum der Fall wäre, so kann das berechtigte Interesse an der Weiterverarbeitung personenbezogener Daten als legitim angesehen werden.

Darüber hinaus können entsprechend bisheriger Rechtsprechung die folgenden Interessen als legitim betrachtet werden:

  • der Zugang zu Online-Informationen, 
  • die Sicherstellung des Betriebs öffentlich zugänglicher Websites, 
  • die Erhebung personenbezogener Daten von Personen, die anderen Schaden zugefügt haben, oder 
  • die Bewertung der Kreditwürdigkeit.

 

Erforderlichkeit der Verarbeitung

Die Bedingung der "Erforderlichkeit der Verarbeitung" gilt nicht nur für Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DS-GVO basieren. Der Begriff der Erforderlichkeit hat eine eigenständige Bedeutung im EU-Recht und erfordert die Berücksichtigung der Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten. Bei der Beurteilung, was „notwendig“ ist, muss festgestellt werden, ob legitime Interessen auch mit weniger eingreifenden Mitteln erreicht werden können. Wenn solche Alternativen existieren, ist die Verarbeitung nicht als „notwendig“ einzustufen. Der EuGH, (EuGH, Urteil vom 7. Dezember 2023, verbundene Rechtssachen C-26/22 und C-64/22,) auf dessen Urteil der EDSA in den Leitlinien verweis, hebt hervor, dass die Verarbeitung nur insoweit erfolgen sollte, wie sie unbedingt für die verfolgten Interessen erforderlich ist, was auch mit dem Prinzip der Datenminimierung verknüpft ist. 

Zu beachten sei weiter, dass in der Praxis es oft einfacher ist, die Notwendigkeit zur Verfolgung eigener Interessen nachzuweisen als zur Verfolgung der Interessen Dritter, da Letzteres von betroffenen Personen weniger erwartet wird.

Interessenabwägung 

Die Abwägungsprüfung nach Art. 6 Abs. 1 lit. f DS-GVO verlangt abschließend, dass das berechtigte Interesse des Verantwortlichen nicht durch die Interessen oder Rechte der betroffenen Person überwogen wird. Dabei spielen Faktoren wie die Art der Daten, der Verarbeitungskontext und die berechtigten Erwartungen der betroffenen Person eine Rolle; zudem sollten Maßnahmen zur Schadensbegrenzung berücksichtigt werden. Genau diese Prüfung stellt in der Praxis oft die größte Herausforderung dar. Die Leitlinien bieten dazu ausführliche Informationen und Hinweise, welche Hintergründe für eine fundierte Interessenabwägung relevant sind.

  1. Interessen, Grundrechte und Freiheiten der betroffenen Personen 

    Zunächst sind bei der Abwägung der berechtigten Interessen die Interessen sowie die Grundrechte und Grundfreiheiten der betroffenen Person zu berücksichtigen, einschließlich des Datenschutzes und des Schutzes der Privatsphäre sowie anderer Grundrechte wie der Freiheit der Meinungsäußerung und der Nichtdiskriminierung. Auch die finanziellen, sozialen und persönlichen Interessen der betroffenen Person sind bei der Abwägung zu berücksichtigen.

  2. Auswirkungen der Verarbeitung 

    Nachdem die Interessen, Grundrechte und Freiheiten der betroffenen Personen ermittelt wurden, muss der Verantwortliche die potenziellen Auswirkungen der Datenverarbeitung sorgfältig bewerten. Dabei sind die Art der Daten (z.B. sensible Daten), der Kontext (einschließlich Umfang und Zugänglichkeit) sowie die möglichen weiteren Folgen der Verarbeitung zu berücksichtigen. Diese Prüfung erfordert eine objektive Bewertung. Zu berücksichtigen sind unter anderem hohe Risiken oder das besondere Schutzbedürfnis bestimmter Gruppen, z. B. von Kindern. Wenn hohe Risiken bestehen, muss eine Datenschutz-Folgenabschätzung in Betracht gezogen werden. 

    Nach Bewertung aller Interessen, Rechte und Freiheiten muss der Verantwortliche abwägen, ob das berechtigte Interesse des verantwortlichen oder eines Dritten das Interesse der betroffenen Person überwiegt. Überwiegt das berechtigte Interesse, kann die Verarbeitung durchgeführt werden. Andernfalls sollten Abhilfemaßnahmen getroffen werden, die über die Verpflichtungen der DS-GVO hinausgehen, z. B. zusätzliche Datenschutzgarantien. Diese Maßnahmen können helfen ein angemessenes Gleichgewicht zu erreichen und eine erneute Abwägung ist erforderlich. Ist ein Ausgleich nicht möglich, darf die Verarbeitung gemäß Art. 6 Abs. 1 lit. f DS-GVO nicht durchgeführt werden.

  3. Vernünftige Erwartungshaltung der Betroffenen 

    Nach Erwägungsgrund 47 müssen die berechtigten Erwartungen der betroffenen Person in Bezug auf ihre Beziehung zum für die Verarbeitung Verantwortlichen berücksichtigt werden. Es ist zu prüfen, ob die betroffene Person zum Zeitpunkt der Datenerhebung vernünftigerweise erwarten kann, dass eine Verarbeitung zu diesem Zweck erfolgt. Dabei ist zwischen vernünftigen Erwartungen und gängiger Praxis in bestimmten Sektoren zu unterscheiden. Die übliche Verarbeitung bestimmter personenbezogener Daten in einem Sektor bedeutet nicht automatisch, dass die betroffene Person damit rechnen kann. Zusätzlich hängen begründete Erwartungen nicht ausschließlich von den Informationen ab, die den betroffenen Personen bereitgestellt werden. Das Fehlen von Informationen kann zwar Überraschungen verursachen, doch reicht die Erfüllung der Informationspflichten gem. Art. 12, 13 und 14 DS-GVO nicht aus, um anzunehmen, dass die betroffenen Personen eine Verarbeitung vernünftigerweise erwarten können.

Kontextuale Anwendung des Art. 6 Abs. 1 lit. f DS-GVO 

Der EDSA erläutert in seiner Leitlinie eine Vielzahl von Kontexten, in denen die Rechtsgrundlage des berechtigten Interesses herangezogen werden könnte oder die besonderen Merkmale aufweisen, die bei der Beurteilung der Frage, ob Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage herangezogen werden kann, sorgfältig geprüft werden sollten.

  1. Kinder


    Kinder benötigen besonderen Schutz ihrer personenbezogenen Daten, da sie oft weniger über Risiken und Rechte informiert sind. Dies wird in Art. 6 Abs. 1 lit. f DS-GVO ausdrücklich betont, der eine sorgfältige Abwägung fordert („…insbesondere wenn die betroffene Person ein Kind ist"). Bei der Interessenabwägung muss das Wohl des Kindes Vorrang haben, um die Anforderungen des Art. 24 der Charta und der UN-Kinderrechtskonvention zu erfüllen. Besonders bei Profiling und gezielter Werbung müssen Verantwortliche nachweisen, dass die Verarbeitung das Kindeswohl nicht beeinträchtigt oder solche Aktivitäten einstellen. In der Praxis sollten altersbedingte Unterschiede berücksichtigt werden, um Kinder vor unangemessener Datenverarbeitung zu schützen.

  2. Betrugsbekämpfung


    Die Verarbeitung personenbezogener Daten zur Betrugsbekämpfung kann laut Erwägungsgrund 47 der DS-GVO auf das berechtigte Interesse des Verantwortlichen gestützt werden, sofern sie notwendig ist und eine Abwägung mit den Rechten der betroffenen Personen erfolgt. Es fehlt jedoch an einer klaren Definition von „Betrugsbekämpfung“. Die Verarbeitung muss dabei den Grundsätzen der Datenminimierung, Speicherbegrenzung und Zweckbindung entsprechen. Allgemeine Hinweise zur Betrugsbekämpfung reichen nicht für die Transparenzpflicht aus. Bei einer gesetzlichen Vorgabe zur Betrugsprävention ist Art. 6 Abs. 1 lit. c DS-GVO die korrekte Rechtsgrundlage.

  3. Direktmarketing


    Erwägungsgrund 47 der DS-GVO sieht die Möglichkeit vor Direktwerbung als berechtigtes Interesse zur Verarbeitung personenbezogener Daten anzuerkennen. Der EuGH hat diesbezüglich festgelegt, dass für die Einordnung einer Kommunikation als Direktwerbung entscheidend ist, ob sie einen kommerziellen Zweck hat und direkt an einen Verbraucher gerichtet ist. Dabei ist es unerheblich, ob die Werbung gezielt oder massenhaft versendet wird. Entscheidend ist die unmittelbare Ansprache einer Person. Die Berufung auf berechtigtes Interesse für Direktwerbung ist jedoch nicht pauschal möglich und kann beispielsweise durch Einwilligungspflichten laut Datenschutzrichtlinie für elektronische Kommunikation ausgeschlossen sein.

  4. Verarbeitung von Daten innerhalb einer Unternehmensgruppe

    Erwägungsgrund 48 der DS-GVO erlaubt es Verantwortlichen innerhalb einer Unternehmensgruppe, ein berechtigtes Interesse an der Datenübermittlung zu internen Verwaltungszwecken geltend zu machen, etwa für Kunden- oder Mitarbeiterdaten. Dies kann als Rechtsgrundlage gemäß Artikel 6 Abs. 1 lit. f DS-GVO gelten, wenn die Erforderlichkeit und Interessenabwägung positiv ausfallen. Eine solche Übermittlung ist jedoch nicht zwingend nur durch Artikel 6 Abs. 1 lit. f gerechtfertigt, sondern muss auch nationale Vorschriften, insbesondere im Beschäftigungskontext, berücksichtigen. Zudem sind die Betroffenen umfassend über die Datenverarbeitung zu informieren.

  5. Profiling

    Nicht alle Profiling-Aktivitäten führen zu einer automatisierten Entscheidungsfindung im Sinne von Art. 22 DS-GVO. Unabhängig von der Absicht des für die Verarbeitung Verantwortlichen, ein solches Profiling durchzuführen, sind bestimmte Faktoren entscheidend, bevor Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage herangezogen wird. 

    Diese Faktoren umfassen:
    Detaillierungsgrad des Profils: Wird die betroffene Person als Teil einer breiten Kohorte (z.B. „Personen mit Interesse an englischer Literatur“) oder auf granularer Ebene angesprochen?
    Umfang des Profils: Beschreibt das Profil lediglich einen kleinen Aspekt der betroffenen Person oder vermittelt es ein umfassenderes Bild?
    Auswirkungen des Profilings: Welche Auswirkungen hat das Profiling auf die betroffene Person?
    Zukünftige Kombination von Profilen: Besteht die Möglichkeit, Profile in der Zukunft zu kombinieren?
    Garantien für Fairness, Nichtdiskriminierung und Genauigkeit: Maßnahmen zur Sicherstellung dieser Aspekte im Profiling-Prozess.

Fazit

Die Rechtsgrundlage des berechtigten Interesses ist in der Praxis von großer Bedeutung, allerdings bietet die DS-GVO hier viel Interpretationsspielraum. Der EDSA schafft nun mehr Klarheit und Einheitlichkeit. In den Leitlinien wird betont, dass die Verarbeitung nicht als „letztes Mittel“ für Fälle angesehen werden sollte, in denen andere Rechtsgrundlagen nicht anwendbar sind, und dass sie auch nicht aus Bequemlichkeit übermäßig genutzt werden sollte, da sie als weniger restriktiv angesehen wird.

13.11.2024 Blog | Datenschutz

Eine zentrale Bestimmung ist Art. 6 Abs. 1 DS-GVO, der die verschiedenen Rechtsgrundlagen für die Datenverarbeitung aufzählt. Insbesondere das…

Combined Shape

In einem Urteil vom 31. Juli 2024 (Az. 7 U 351/23 e) hat das Oberlandesgericht (OLG) München klargestellt, dass die unbefugte Weiterleitung…

Combined Shape

Das OLG Koblenz veröffentlichte am 31.07.2024 einen Hinweisbeschluss (4 U 238/23), welcher sich im Kern auf die Widerrufbarkeit einer Einwilligung…

Combined Shape

Seit einigen Jahren wird darüber diskutiert, wie mit dem Umstand umgegangen werden kann, dass Websitebesucher auf nahezu jeder besuchten Website erst…

Combined Shape

Im ersten Teil dieser Reihe wurden bereits die Zweckbindung und die Rechtsgrundlage für die Datenverarbeitung bei internen Ermittlungen behandelt.…

Combined Shape

Interne Ermittlungen dienen der Aufdeckung von Fehlverhalten im eigenen Unternehmen. Dabei können unter anderem finanzielle Unregelmäßigkeiten,…

Combined Shape

Das Land Niedersachsen verkündete am 26.04.2024 in einer Pressemitteilung, dass das Niedersächsische Ministerium für Inneres und Sport erfolgreich…

Combined Shape

Bereits im Jahr 2020 hat Google angekündigt, dass in der Zukunft Third-Party-Cookies, also Cookies die nicht vom Webseitenbetreibenden selbst, sondern…

Combined Shape

(AG) Die neue EU-Verordnung DORA ist da und stellt einen wichtigen Schritt in Richtung einer erhöhten digitalen operationalen Resilienz bzw.…

Combined Shape

09.04.2024 Blog | Update-News, Datenschutz

Am 07.03.2024 beschließt der EuGH in der Rechtssache C-604/22, dass die “Transparency and Consent Strings” (TC- Strings) des Interactive Advertising…

Combined Shape

09.04.2024 Blog | Update-News, Datenschutz

Die Entwicklung künstlicher Intelligenz (KI) hat seit dem Jahr 2023 insbesondere durch ChatGPT rasant an Bedeutung gewonnen. Generative KI-Systeme für…

Combined Shape

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

Ist bei Ihnen auf der Website oder der App Google Analytics, Google Ads, Floodlight oder eine Conversion-Verknüpfung im Einsatz, stehen die Chancen…

Combined Shape

31.01.2024 Blog | Update-News, Datenschutz

Der Begriff des „Personenbezugs“ nimmt im Datenschutzrecht eine Schlüsselstellung ein. Ein Urteil des EuGH vom 9. November 2023 hat dieses Verständnis…

Combined Shape

26.01.2024 Blog | Update-News, Datenschutz

Mit der Einführung von ChatGPT hat künstliche Intelligenz (KI) in unserer Zeit eine deutlich präsentere Rolle eingenommen. Die Fähigkeiten von KI, wie…

Combined Shape

18.01.2024 Blog | Update-News, Datenschutz

In seinem Urteil vom 3.11.2023, Az 6 U 58/23 hat das OLG Köln eine Datenübermittlung in die USA für unzulässig erklärt. Das Gericht ist dabei der…

Combined Shape

10.01.2024 Blog | Update-News, Datenschutz

(MB) Am 2. Juli 2023 wurde die EU-Richtlinie 2019/1937 in das deutsche Recht umgesetzt, als das Hinweisgeberschutzgesetz (HinSchG) in Kraft trat. Eine…

Combined Shape

10.01.2024 Blog | Update-News, Datenschutz

(MoB) In Reaktion auf langjährige Forderungen von Datenschützern hat Deutschlands führende Wirtschaftsauskunftei, die Schufa, bekanntgegeben, die…

Combined Shape

09.01.2024 Blog | Update-News, Datenschutz

Vor dem Landgericht Baden-Baden wurde ein Fall verhandelt, der die Frage aufwirft, ob Mitarbeitende als Empfänger personenbezogener Daten gelten…

Combined Shape

27.12.2023 Blog | Update-News, Datenschutz, Informationssicherheit

Der Einsatz von generativer Künstlicher Intelligenz (KI) in Unternehmen eröffnet neue Möglichkeiten, geht jedoch mit erheblichen…

Combined Shape

(AR) Im September 2023 wurde eine „Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3…

Combined Shape

(AR) Die Lage der Cybersicherheit in Deutschland ist laut der BSI-Chefin „besorgniserregend“. Das stellte das BSI in seinem Lagebericht für das Jahr…

Combined Shape

29.11.2023 Blog | Update-News, Datenschutz

(AR) Mit dem Urteil vom 30. März 2023 hat der EuGH deutliche Unsicherheiten ausgelöst. Erstmalig äußerte sich dieser zum deutschen…

Combined Shape

(MB) Eine der wesentlichen datenschutzrechtlichen Verpflichtungen ist in Art. 30 DS-GVO geregelt. Hiernach sind Verantwortliche (Abs. 1) und…

Combined Shape

Für die Sicherheit im privaten und öffentlichen Bereich gewinnt die Videoüberwachung zunehmend an Bedeutung. Jedoch besteht insbesondere im Hinblick…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

18.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AG) In Deutschland nutzen ca. 80% der Bevölkerung ab 14 Jahren Kommunikationsdienste wie WhatsApp. Doch was ist, wenn wir in einem privaten Chat…

Combined Shape

17.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AR) In einer zunehmend vernetzten Welt sind öffentliche WLAN-Netzwerke zu einem festen Bestandteil unseres Alltags geworden. Ob in Cafes, Flughäfen…

Combined Shape

Nach dem aktuellen Urteil des Bundesarbeitsgerichts vom 29.06.2023 besteht grundsätzlich kein Verwertungsverbot für Videoaufzeichnungen. Jedenfalls…

Combined Shape

09.10.2023 Blog | Update-News, Datenschutz

Die EU-Kommission sagt mit ihrem neuen Entwurf für die Child Sexual Abuse Material Verordnung (CSAM-VO) dem Missbrauch von Kindern in Online-Medien…

Combined Shape

Mit dem neuen Pflegeunterstützungs- und Entlastungsgesetz kommen auch neue datenschutzrelevante Aufgaben auf Arbeitgeber zu.

Combined Shape

Der Einsatz von künstlicher Intelligenz (KI) innerhalb der Europäischen Union soll künftig durch die Verordnung des Europäischen Parlaments und des…

Combined Shape

21.07.2023 Blog | Update-News, Datenschutz

Gemäß Art. 15 Abs. 1 der Datenschutz-Grundverordnung (DS-GVO) haben betroffene Personen das Recht, Auskunft von Verantwortlichen darüber zu erhalten,…

Combined Shape

21.07.2023 Blog | Update-News, Datenschutz

Im zweiten Teil unserer Artikelserie stehen die inhaltlichen Anforderungen an die Beantwortung eines legitimen Auskunftsersuchens im Fokus.

Combined Shape

18.07.2023 Blog | Update-News, Datenschutz

Am 10.07.2023 verkündete die Europäische Kommission das Inkrafttreten des EU-US Data Privacy Frameworks. Dabei handelt es sich um einen…

Combined Shape

Längst gehört es zur Unternehmenspraxis, dass Rechnungen per E-Mail an Kunden versandt werden. Dass der Rechnungsversand per E-Mail…

Combined Shape

16.07.2023 Blog | Update-News, Datenschutz

Ab dem 01.07.2023 wird Universal Analytics von Google Analytics 4 (GA4) abgelöst, wobei Google eine einmalige Fristverlängerung von einem Jahr für den…

Combined Shape

In seinem Urteil vom 4. Mai 2023 (Rechtssache C 300/21) hat der Europäische Gerichtshof (EuGH) klargestellt, dass der bloße Verstoß gegen die…

Combined Shape

Während der Europäische Gerichtshof (EuGH) aktuell in einem Vorabentscheidungsverfahren (Rechtssache C-807/21) über grundsätzliche Fragen zur…

Combined Shape

03.07.2023 Blog | Update-News, Datenschutz

(RS) Bislang haben Arbeitgebende die Verarbeitung von Beschäftigtendaten in aller Regel auf § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) gestützt.…

Combined Shape

26.06.2023 Blog | Update-News, Datenschutz

Nachdem wir bereits im Dezember 2021 über die Pläne der Bundesregierung zur Umsetzung der EU 2019/1937 Richtlinie (EU-Whistleblower-Richtlinie)…

Combined Shape

09.05.2023 Blog | Update-News, Datenschutz

Aus einem aktuellen Urteil des Europäischen Gerichtshofes geht hervor, dass der Art. 9 Abs. 1 der DS-GVO dahingehend auszulegen ist, dass auch die…

Combined Shape

Ist bei einer Doppelfunktion von Datenschutzbeauftragten und Beauftragten der internen Meldestelle ein Interessenkonflikt möglich?

 

Combined Shape

27.04.2023 Blog | Update-News, Datenschutz

Als erstes Land weltweit hat Italiens Datenschutzbehörde den KI-basierten Chatbot ChatGPT des Unternehmens OpenAI Ende März wegen Datenschutzbedenken…

Combined Shape

Wer kennt das nicht, im Netz wird ein interessanter Beitrag angeteasert, den ich gerne lesen möchte, ich klicke den Artikel an und ein Banner ploppt…

Combined Shape

13.04.2023 Blog | Update-News, Datenschutz

Der Europäische Gerichtshof hat am 12. Januar 2023 entschieden, dass jede Person das Recht hat, zu erfahren, an wen die eigenen personenbezogenen…

Combined Shape

Der Bundesbeauftragte für den Datenschutz (BfDI) hat zu TrustPid seine Auffassung zum Thema Datenschutz in einem FAQ kundgetan.

 

Combined Shape

10.03.2023 Blog | Update-News, Datenschutz

E-Mail-Marketing spielt nach wie vor eine wichtige Rolle für Unternehmen, um Bestandskunden zu pflegen und neue Kunden zu gewinnen. Allerdings gibt es…

Combined Shape

Videoüberwachung wird von vielen Unternehmen zur Sammlung von Beweismaterial eingesetzt. Es ist jedoch wichtig, dass die Überwachung rechtmäßig…

Combined Shape

Betroffene Personen können von dem Verantwortlichen sowohl die Berichtigung (Art. 16 DS-GVO) oder Löschung (Art. 17 Abs. 1 DS-GVO) ihrer…

Combined Shape

Der Niedersächsische Landesbeauftragte für den Datenschutz (LfD) hat in einer Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten –…

Combined Shape

Verantwortliche stehen vor der Frage, wann ein Datenschutzvorfall meldepflichtig ist und wann die Betroffenen informiert werden müssen.

Combined Shape

17.01.2023 Blog | Update-News, Datenschutz

Datenschutzverletzungen bergen für Unternehmen ein hohes Risikopotential, weil sie schwerwiegende Folgen haben können. Wir erklären hier den richtigen…

Combined Shape

13.01.2023 Blog | Cybersecurity

Nach Angaben der Webseite Cybernews wurde am 16. November 2022 in einem Forum im Darknet ein Datensatz mit 487 Millionen Mobilfunknummern von…

Combined Shape

Das Trans-Atlantic Data Privacy Framework (TADPF) soll der Nachfolger des durch das Schrems-II-Urteil gekippten EU-US Privacy Shields werden und…

Combined Shape

14.12.2022 Blog | Informationssicherheit

Die Online-Dienste von Microsoft sind sowohl aus dem privatunternehmerischen als auch aus dem öffentlichen (u.a. Schulen und Behörden) Alltag nicht…

Combined Shape

Bei einem Hackerangriff auf den australischen Netzbetreiber Optus ist es Angreifern gelungen, zehn Millionen Kundendaten abzugreifen.

Combined Shape

16.11.2022 Blog | Update-News, Datenschutz

Im Unternehmensalltag werden regelmäßig personenbezogene Daten verarbeitet. Dies ist jedoch unter anderem nur zulässig, wenn die Anforderungen der…

Combined Shape

Die Webseiten vieler Unternehmen beinhalten inzwischen Informationen über ihre Mitarbeitenden und die Tätigkeiten, die sie für das Unternehmen…

Combined Shape

16.11.2022 Blog | Update-News, Datenschutz

Anlässlich des Weltkindertages (20.09) hat der BfDI1) einen Flyer erstellt, der Eltern Empfehlungen zum Datenschutz für ihre Kinder bei der Nutzung…

Combined Shape

18.10.2022 Blog | Update-News, Datenschutz

Elektronische Werbung per E-Mail ist für viele Unternehmen ein beliebtes Mittel, um Kunden beispielsweise über aktuelle Angebote zu informieren. Zu…

Combined Shape

Für die Umstellung von Altverträgen wurde eine Deadline eingeräumt. Diese läuft nunmehr in knapp zwei Monaten ab, sodass dringender Handlungsbedarf…

Combined Shape

11.10.2022 Blog | Cybersecurity

Ransomware, Virus, Spyware, Trojaner – Diese Begriffe haben Sie bestimmt schon einmal im Kontext von Malware gehört. Bei dieser Vielzahl kann man…

Combined Shape

Wie spätestens seit dem Schrems II-Urteil bekannt sind bei einer Übermittlung personenbezogener Daten in die USA insbesondere die folgenden Regelungen…

Combined Shape

Das Bayerische Landesamt für Datenschutzaufsicht (BayLfDA) teilte am 21. Juli 2022 in einer Pressemitteilung mit, dass sich mehrere Aufsichtsbehörden…

Combined Shape

03.08.2022 Blog | Update-News, Datenschutz

Die Anforderungen an den DSB möchte die französische Aufsichtsbehörde, Commission Nationale de l’Informatique et des Libertés (CNIL) mit einer…

Combined Shape

Der europäische Datenschutzausschuss (EDSA) hat am 22.02.2022 die Version 2.0 der „Guidelines 04/2021 on Codes of Conduct as tools for transfers “…

Combined Shape

14.07.2022 Blog | Update-News, Datenschutz

Konzernintern personenbezogene Daten weitergeben? Ist unter bestimmten Voraussetzungen möglich. Die Voraussetzungen werden im letzten Abschnitt dieses…

Combined Shape

Am 23. Februar 2022 hat die Europäische Union (EU) den finalen Entwurf zum Datengesetz zur Errichtung eines innovativen Rechtsrahmens für die…

Combined Shape

11.07.2022 Blog | Update-News, Datenschutz

Google Analytics, ein Thema das die Datenschutz- und Marketingwelt seit geraumer Zeit beschäftigt. Immer wieder begegnen den Lesenden Überschriften…

Combined Shape

Im September 2021 wurden durch deutsche Verbraucherzentralen fast 100 Abmahnungen aufgrund nicht rechtskonformer Datenverarbeitung verschickt…

Combined Shape

Im sechsten und damit letzten Teil unserer Reihe “Die Einwilligung – Cookie Consent Banner” bilden das “Nudging” sowie der “Widerruf” einer…

Combined Shape

27.06.2022 Blog | Update-News, Datenschutz

Derzeit werden Briefe an Unternehmen verschickt, in denen diese wegen der unrechtmäßigen Verwendung von Google Fonts und damit verbundenen Verstößen…

Combined Shape

24.06.2022 Blog | Cybersecurity

Was haben die Elektronik-Fachmarktkette Media Markt, der Automobilzulieferer Eberspächer und der Landkreis Anhalt-Bitterfeld gemeinsam? Sie alle…

Combined Shape

Eine Einwilligung gilt jedoch auch bei Beachtung der bereits erörterten Anforderungen nur dann als ordnungsgemäß abgegeben, wenn die betroffene Person…

Combined Shape

Im vierten Teil unserer Artikelserie steht die eindeutige bestätigende Handlung, bei der Abgabe einer Einwilligung i.S.d. Art. 6 Abs. 1 lit. a), Art.…

Combined Shape

08.06.2022 Blog | Update-News, Datenschutz, Informationssicherheit

Wie das Nachrichtenportal „heise online“ berichtete (Zero Day Lücke in Microsoft Office erlaubt Codeschmuggel), haben Sicherheitsforscher eine…

Combined Shape

25.05.2022 Blog | Update-News, Datenschutz

Aufgrund der EU-Verordnung 763/2008 muss in jedem EU-Mitgliedstaat alle zehn Jahre eine Zählung der Bevölkerung durchgeführt werden. Diese…

Combined Shape

Neues Vorhaben zur Regelung des Datenverkehrs zwischen der Europäischen Union und den Vereinigten Staaten angekündigt. Wann kommt das Privacy Shield…

Combined Shape

Mit unserer Reihe “Die Einwilligung – Cookie Consent Banner” möchten wir Sie nicht nur über die gesetzlichen Anforderungen einer DS-GVO konformen…

Combined Shape

Es ist festzuhalten, dass Geschäftsführer und vergleichbare, nicht weisungsgebundene Angestellte sich des Risikos bewusst sein sollten, dass im Falle…

Combined Shape

19.05.2022 Blog | Update-News, Datenschutz

Das LG München hat mit Urteil vom 09.12.2021 einer von einem Datenleck betroffenen Person einen immateriellen Schadenersatzanspruch gem. Art. 82 Abs.…

Combined Shape

Eine Einwilligung legitimiert die Verarbeitung personenbezogener Daten. Somit dürfen keine (nicht unbedingt technisch notwendigen) Cookies oder…

Combined Shape

10.05.2022 Blog | Update-News, Datenschutz

Bei fast jedem erstmaligen Aufruf einer Webseite werden dem Besucher Cookie-Banner angezeigt. Diese werden eingesetzt, um die Besucher der Webseite…

Combined Shape

Die belgische Datenschutzaufsichtsbehörde (Autorité de protection des données (APD)) hat in einer „One Stop Shop“ Entscheidung erklärt, dass das…

Combined Shape

Die nationale Datenschutzbehörde Frankreichs (Comission Nat Informatique et Liberté CNIL) hat am 06.01.22 ein Bußgeld in Höhe von 60 Millionen Euro…

Combined Shape

Zum 21.03.2022 sind die UK-Standardvertragsklauseln (UK-SCC) in Kraft getreten.

Combined Shape

21.03.2022 Blog | Update-News, Datenschutz

Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg Stefan Brink veröffentlichte am 18.03.2022 seinen 3.…

Combined Shape

Die 3. Zivilkammer des Landgerichts (LG) München hat mit Urteil vom 20.01.2022 dem Kläger einen Unterlassungsanspruch sowie einen Anspruch auf Zahlung…

Combined Shape

25.02.2022 Blog | Update-News, Datenschutz

Die digitale Arbeitszeiterfassung hat für Arbeitgeber viele Vorteile. Allerdings muss diese selbstverständlich auch datenschutzkonform erfolgen.

Combined Shape

24.02.2022 Blog | Update-News, Datenschutz

Das Onboarding von Beschäftigten – also die Integration neuer Beschäftigter in das Unternehmen – ist mit einer Vielzahl von verschiedenen Maßnahmen…

Combined Shape

Dem sozialen Netzwerk Facebook droht in Großbritannien eine Sammelklage von bis zu 44 Millionen Nutzern.

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

28.01.2022 Blog | Update-News, Datenschutz

Im Jahr 2006 führte der Europarat einen europäischen Datenschutztag ein, welcher jährlich am 28. Januar stattfindet. An diesem Aktionstag soll den in…

Combined Shape

Am 18. August 2020 wurde vertreten durch NOYB – Europäisches Zentrum für digitale Rechte, eine Datenschutzbeschwerde unter anderem bei der…

Combined Shape

10.01.2022 Blog | Update-News, Datenschutz

Bei einer Stichwortsuche „Datenschutz“ im Koalitionsvertrag der neuen Ampel-Regierung wird der Leser mit 17 Treffern belohnt. Ein erster Hinweis auf…

Combined Shape

22.12.2021 Blog | Update-News, Datenschutz

Am 24. November 2021 haben SPD, Grüne und FDP die Ergebnisse ihrer Koalitionsverhandlungen vorgestellt. Der entsprechende Koalitionsvertrag „Mehr…

Combined Shape

10.12.2021 Blog | Update-News, Datenschutz

Das (VG) Wiesbaden, mit Beschluss vom 01.12.2021 hat entschieden, dass der Consent-Manager „Cookiebot“ gegen die Datenschutzgrundverordnung (DS-GVO)…

Combined Shape

08.12.2021 Blog | Datenschutz

Die 3G-Pflicht am Arbeitsplatz ist spätestens seit dem 24.11.2021 in aller Munde. Denn mit der Veröffentlichung des neuen § 28b Infektionsschutzgesetz…

Combined Shape

Die fortschreitende Digitalisierung hat zur Folge, dass auch Cyberkriminelle sich diese neuen Technologien zunutze machen und neu entstehende…

Combined Shape

11.10.2021 Blog | Update-News, Datenschutz

Das Telekommunikation-Telemedien-Datenschutz-Gesetz regelt Bestimmungen zum Fernmeldegeheimnis und Datenschutz bei Telekommunikations- und bei…

Combined Shape

Wer kennt Sie nicht, die Anrufe zur stets unpassenden Zeit mit dem gut gemeinten Versuch, etwas anbieten zu wollen. Sei es ein neuer Smartphone-Tarif,…

Combined Shape

11.08.2021 Blog | Update-News, Datenschutz

Die fortschreitende Digitalisierung von Arbeitsprozessen oder der betrieblichen Gesundheitsvorsorge führt immer häufiger auch zum Einsatz von sog.…

Combined Shape

Bargeldloses Bezahlen, digitaler Impfausweis, Homeoffice, Videokonferenzen oder der digitale Gang zur Behörde sind nur einige Themengebiete, die durch…

Combined Shape

Die Europäische Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen: einen im Rahmen der…

Combined Shape

18.06.2021 Blog | Update-News, Datenschutz

Am 04.06.2021 hat die EU-Kommission die finalen neuen Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten in Drittländer…

Combined Shape

16.06.2021 Blog | Update-News, Datenschutz

Wenn immer mehr Menschen geimpft sind, stellt sich sowohl für viele Arbeitgeber als auch für Arbeitnehmer die Frage, ob es möglich ist, durch Vorlage…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

26.05.2021 Blog | Update-News, Datenschutz

Datenschutzrechtlich sind Gesundheitsdaten von besonderer Bedeutung, da es sich bei Gesundheitsdaten um Daten nach Art. 9 DS-GVO (besondere Kategorien…

Combined Shape

In den vergangenen Tagen wurden mehrere Hacks mit gigantischen Datenlecks bei großen sozialen Netzwerken bekannt. Bei Facebook sollen über 533 Mio.…

Combined Shape

Mit dem Gesetz zur Einführung und Verwendung einer Identifikationsnummer in der öffentlichen Verwaltung und zur Änderung weiterer Gesetze (sogenanntes…

Combined Shape

18.03.2021 Blog | Update-News, Datenschutz

Kontaktnachverfolgung ist ein wichtiger Baustein in der Corona-Bekämpfung und gehört auch zu den Überlegungen Veranstaltungen, Kino-, Museums- und…

Combined Shape

26.02.2021 Blog | Update-News, Datenschutz

Teil des Datenschutzes ist auch die regelmäßige Löschung von Daten. Für Unternehmen besteht eine gesetzliche Pflicht personenbezogene Daten zu…

Combined Shape

Mobile Endgeräte bringen einige Risiken mit sich, da durch die Komplexität der Geräte verschiedene Schwachstellen möglich werden.

Combined Shape

15.02.2021 Blog | Update-News, Datenschutz

Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich – Entwurf des Brexit-Abkommens bietet viermonatige Übergangsfrist ab…

Combined Shape