19 Mai

Neues eLearning-Modul: Inoffizielle KI-Nutzung im Unternehmen – Risiken und Verantwortung

KI-Tools sind schnell ausprobiert – oft schneller, als interne Freigabeprozesse greifen. Genau hier entstehen Risiken: Beschäftigte nutzen KI-Anwendungen ohne offizielle Prüfung, geben sensible Informationen ein oder verwenden freigegebene Tools in unzulässiger Weise. - So entsteht im Unternehmen eine sogenannte Schatten-KI. Unser neues eLearning-Modul „Inoffizielle KI-Nutzung im Unternehmen – Risiken und Verantwortung“ sensibilisiert Geschäftsführer und Führungskräfte für die Gefahren von...

Weiterlesen

Zusammenfassung

Die eLearning Schulungsplattform der IITR Datenschutz GmbH wurde um das neue Schulungsmodul „Inoffizielle KI-Nutzung im Unternehmen – Risiken und Verantwortung“ ergänzt.

2 Minuten Lesezeit

18 Mai

EDPB-Leitlinien 1/2026: Neue Orientierung für die Forschungsdatenverarbeitung

Der Europäische Datenschutzausschuss (EDSA) hat die Leitlinien 1/2026 zur Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke verabschiedet und zur öffentlichen Konsultation gestellt. Das Dokument schließt eine seit Jahren bestehende Auslegungslücke in der DS-GVO und richtet sich an Verantwortliche in Wissenschaft, Industrie und öffentlichen Einrichtungen gleichermaßen. Was gilt als „wissenschaftliche Forschung"? Der Begriff ist in der DS-GVO bewusst weit gefasst – e...

Weiterlesen

Zusammenfassung

Der EDSA präzisiert mit den Leitlinien 1/2026, wann Datenverarbeitung als wissenschaftliche Forschung gilt, welche Rechtsgrundlagen greifen und welche Schutzmaßnahmen erforderlich sind. Verantwortliche werden somit dazu angeregt, ihre Verarbeitungstätigkeiten auf Konformität mit den konkretisierten Anforderungen zu überprüfen.

5 Minuten Lesezeit

04 Mai

Vorratsdatenspeicherung oder IP-Adressspeicherung? Eine rechtliche Einordnung des aktuellen Gesetzentwurfs

Das Bundeskabinett hat einen Gesetzentwurf beschlossen, der Internet-Zugangsanbieter verpflichten soll, IP-Adressen ihrer Kunden für einen Zeitraum von drei Monaten zu speichern. Die Begründung knüpft an bekannte sicherheitspolitische Erwägungen an: Straftaten im digitalen Raum – insbesondere Kinderpornographie, Online-Betrug und Hasskriminalität – nähmen drastisch zu, und IP-Adressen seien häufig die einzige Spur, die Täter im Netz hinterließen. Der Gesetzentwurf fügt sich damit in eine Reih...

Weiterlesen

Zusammenfassung

Das Bundeskabinett hat einen Gesetzentwurf zur dreimonatigen Speicherung von IP-Adressen beschlossen, den die Bundesregierung von der klassischen Vorratsdatenspeicherung abgrenzt. Ob die weiterhin anlasslose und flächendeckende Speicherung mit der Rechtsprechung von EuGH und BVerfG vereinbar ist, bleibt einer gerichtlichen Klärung vorbehalten.

5 Minuten Lesezeit

30 Apr.

International Privacy News – April 2026

April 2026 underscored the continued global relevance of data protection, as the EU marked a decade of the GDPR while new incidents and regulatory actions highlighted ongoing challenges in safeguarding personal data. From large-scale data breaches and insider threats to growing public distrust in global tech platforms, the month reflected both the progress made and the risks that persist. At the same time, competition and data access remained key themes in regulatory discussions. Below, we su...

Weiterlesen

Zusammenfassung

This is a summary of data privacy-related news from around the world that we published on LinkedIn in April 2026.

2 Minuten Lesezeit

29 Apr.

Vergleich: GRC Autonome Datenschutz-Software oder Datenschutz-Management-Software

Einleitung Neben der Möglichkeit, die Datenschutz-Bestimmungen auf der Grundlage von Excel o.ä. in Eigenregie zu bewältigen haben sich zwei Software-basierte Verfahren herausgebildet, um die bestehenden rechtlichen Anforderungen zu erfüllen. Beschreibung der Software-Strategien Der "GRC-Ansatz" (Abkürzung für "Governance, Risk, and Compliance") setzt auf fortschrittliche Software, welche in der internen IT-Struktur des eigenen Unternehmens alle Datenschutz-relevanten Verträge, Vorgänge, Ab...

Weiterlesen

Zusammenfassung

Neben der Möglichkeit, die Datenschutz-Bestimmungen auf der Grundlage von Excel o.ä. in Eigenregie zu bewältigen haben sich zwei Software-basierte Verfahren herausgebildet, um die bestehenden rechtlichen Anforderungen zu erfüllen.

6 Minuten Lesezeit

28 Apr.

Transportverschlüsselung genügt: VG Düsseldorf konkretisiert Anforderungen an E-Mail-Sicherheit

Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf zentrale Fragen zur datenschutzrechtlichen Absicherung von E-Mail-Kommunikation präzisiert. Im Fokus stand die bislang umstrittene Frage, ob personenbezogene Daten grundsätzlich nur mittels Ende-zu-Ende-Verschlüsselung übermittelt werden dürfen oder ob eine Transportverschlüsselung ausreichen kann. Sachverhalt Ausgangspunkt war ein alltäglicher Vorgang: Nach einem Verkehrsunfall wurde der Name einer betrof...

Weiterlesen

Zusammenfassung

Das VG Düsseldorf entschied am 02.04.2026, dass kein genereller Zwang zur Ende-zu-Ende-Verschlüsselung besteht, sondern ein risikobasierter Ansatz gilt. Im konkreten Fall reichte Transportverschlüsselung aus. Je höher das Risiko, desto strengere Maßnahmen sind nötig, wobei Aufsichtsbehörden einen weiten Ermessensspielraum haben – das OLG Schleswig vertritt hingegen eine strengere Linie und verlangt bei erhöhtem Risiko weitergehende Schutzmaßnahmen.

4 Minuten Lesezeit

20 Apr.

EDPB-Vorschlag für ein einheitliches DPIA Template – Inhalte und praktische Bedeutung

Mit seinem am 14. April 2026 veröffentlichten Vorschlag für ein einheitliches Template zur Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) setzt der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) einen deutlichen Impuls zur Vereinheitlichung und Professionalisierung von DPIA-Verfahren nach Art. 35 DS-GVO. Der Entwurf liegt zur öffentlichen Konsultation vor, gibt aber bereits jetzt ein klares Bild davon, welche Struktur und inhaltliche Tiefe Auf...

Weiterlesen

Zusammenfassung

Der EDPB hat ein einheitliches Template für Datenschutz-Folgenabschätzungen (DPIA) vorgelegt, das Struktur und inhaltliche Tiefe solcher Assessments europaweit harmonisieren soll. Es stärkt die Verzahnung von Rechtsgrundlagen, Risikoanalyse und technischen wie organisatorischen Maßnahmen und macht die DPIA zum zentralen Steuerungsinstrument im Datenschutz-Management. Verantwortliche sollten ihre bestehenden DPIA-Vorlagen frühzeitig an diesem Entwurf ausrichten.

7 Minuten Lesezeit

14 Apr.

Transatlantisches Digitalkomitee: Wie die USA mehr Mitsprache bei EU-Digitalgesetzen erhalten

Die EU und die USA suchen einen neuen Weg im Umgang mit digitaler Regulierung – ohne formale Änderungen an bestehenden EU-Gesetzen, aber mit neuer politischer Abstimmung. Ein Bericht des „Standard“, gestützt auf Recherchen des „Handelsblatt“ und von „Netzpolitik.org“, beschreibt, wie die US-Regierung unter Präsident Donald Trump mehr Mitsprache bei europäischen Digitalgesetzen erhält. Kernstück ist ein neues bilaterales Gremium, das als Dialogplattform für digitale Regulierung und Kartellfrag...

Weiterlesen

Zusammenfassung

Die EU und die USA richten ein „Transatlantisches Digitalkomitee“ als ständiges bilaterales Konsultationsforum zu Digitalregulierung (insb. DSA/DMA), Wettbewerbs- und Zollfragen ein. Die EU hält an ihren Rechtsakten fest, eröffnet der US-Regierung aber erweiterte frühzeitige Konsultations- und Einflussmöglichkeiten bei Verfahren gegen große Digitalkonzerne.

4 Minuten Lesezeit