29 Apr.

Vergleich: GRC Autonome Datenschutz-Software oder Datenschutz-Management-Software

Einleitung Neben der Möglichkeit, die Datenschutz-Bestimmungen auf der Grundlage von Excel o.ä. in Eigenregie zu bewältigen haben sich zwei Software-basierte Verfahren herausgebildet, um die bestehenden rechtlichen Anforderungen zu erfüllen. Beschreibung der Software-Strategien Der "GRC-Ansatz" (Abkürzung für "Governance, Risk, and Compliance") setzt auf fortschrittliche Software, welche in der internen IT-Struktur des eigenen Unternehmens alle Datenschutz-relevanten Verträge, Vorgänge, Ab...

Weiterlesen

Zusammenfassung

Neben der Möglichkeit, die Datenschutz-Bestimmungen auf der Grundlage von Excel o.ä. in Eigenregie zu bewältigen haben sich zwei Software-basierte Verfahren herausgebildet, um die bestehenden rechtlichen Anforderungen zu erfüllen.

6 Minuten Lesezeit

28 Apr.

Transportverschlüsselung genügt: VG Düsseldorf konkretisiert Anforderungen an E-Mail-Sicherheit

Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf zentrale Fragen zur datenschutzrechtlichen Absicherung von E-Mail-Kommunikation präzisiert. Im Fokus stand die bislang umstrittene Frage, ob personenbezogene Daten grundsätzlich nur mittels Ende-zu-Ende-Verschlüsselung übermittelt werden dürfen oder ob eine Transportverschlüsselung ausreichen kann. Sachverhalt Ausgangspunkt war ein alltäglicher Vorgang: Nach einem Verkehrsunfall wurde der Name einer betrof...

Weiterlesen

Zusammenfassung

Das VG Düsseldorf entschied am 02.04.2026, dass kein genereller Zwang zur Ende-zu-Ende-Verschlüsselung besteht, sondern ein risikobasierter Ansatz gilt. Im konkreten Fall reichte Transportverschlüsselung aus. Je höher das Risiko, desto strengere Maßnahmen sind nötig, wobei Aufsichtsbehörden einen weiten Ermessensspielraum haben – das OLG Schleswig vertritt hingegen eine strengere Linie und verlangt bei erhöhtem Risiko weitergehende Schutzmaßnahmen.

4 Minuten Lesezeit

20 Apr.

EDPB-Vorschlag für ein einheitliches DPIA Template – Inhalte und praktische Bedeutung

Mit seinem am 14. April 2026 veröffentlichten Vorschlag für ein einheitliches Template zur Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) setzt der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) einen deutlichen Impuls zur Vereinheitlichung und Professionalisierung von DPIA-Verfahren nach Art. 35 DS-GVO. Der Entwurf liegt zur öffentlichen Konsultation vor, gibt aber bereits jetzt ein klares Bild davon, welche Struktur und inhaltliche Tiefe Auf...

Weiterlesen

Zusammenfassung

Der EDPB hat ein einheitliches Template für Datenschutz-Folgenabschätzungen (DPIA) vorgelegt, das Struktur und inhaltliche Tiefe solcher Assessments europaweit harmonisieren soll. Es stärkt die Verzahnung von Rechtsgrundlagen, Risikoanalyse und technischen wie organisatorischen Maßnahmen und macht die DPIA zum zentralen Steuerungsinstrument im Datenschutz-Management. Verantwortliche sollten ihre bestehenden DPIA-Vorlagen frühzeitig an diesem Entwurf ausrichten.

7 Minuten Lesezeit

14 Apr.

Transatlantisches Digitalkomitee: Wie die USA mehr Mitsprache bei EU-Digitalgesetzen erhalten

Die EU und die USA suchen einen neuen Weg im Umgang mit digitaler Regulierung – ohne formale Änderungen an bestehenden EU-Gesetzen, aber mit neuer politischer Abstimmung. Ein Bericht des „Standard“, gestützt auf Recherchen des „Handelsblatt“ und von „Netzpolitik.org“, beschreibt, wie die US-Regierung unter Präsident Donald Trump mehr Mitsprache bei europäischen Digitalgesetzen erhält. Kernstück ist ein neues bilaterales Gremium, das als Dialogplattform für digitale Regulierung und Kartellfrag...

Weiterlesen

Zusammenfassung

Die EU und die USA richten ein „Transatlantisches Digitalkomitee“ als ständiges bilaterales Konsultationsforum zu Digitalregulierung (insb. DSA/DMA), Wettbewerbs- und Zollfragen ein. Die EU hält an ihren Rechtsakten fest, eröffnet der US-Regierung aber erweiterte frühzeitige Konsultations- und Einflussmöglichkeiten bei Verfahren gegen große Digitalkonzerne.

4 Minuten Lesezeit

07 Apr.

Tätigkeitsbericht BayLDA 2025: Datenschutzaufsicht im Belastungstest

Der Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Herr Michael Will, hat am 12. März 2026 dem Ausschuss für Verfassung, Recht, Parlamentsfragen und Integration des Bayerischen Landtags den Tätigkeitsbericht seines Hauses für das Jahr 2025 vorgestellt. Fallzahlen: Explosionsartiger Anstieg Die Zahlen sprechen für sich: 9.746 Beschwerden und Kontrollanregungen gingen beim BayLDA im Berichtsjahr ein – ein Anstieg von +61 % gegenüber dem Vorjahr. Die Meldungen von Datenschutzver...

Weiterlesen

Zusammenfassung

Der Tätigkeitsbericht für das Jahr 2025 der bayerischen Landesdatenschutzaufsichtsbehörde zeigt einen massiven Anstieg von Beschwerden und Datenschutzverstößen, getrieben insbesondere durch KI-generierte Eingaben und die zunehmende instrumentelle Nutzung des Datenschutzrechts. Gleichzeitig stößt die Behörde angesichts wachsender Aufgaben durch EU-Digitalregulierung und begrenzter Ressourcen an strukturelle Belastungsgrenzen.

6 Minuten Lesezeit

01 Apr.

International Privacy News – March 2026

In March 2026, the growing complexity of global privacy governance was highlighted, with key developments spanning cybersecurity incidents, legislative challenges, and continued debates over surveillance and encryption. Policymakers, regulators, and courts were confronted with the difficult task of striking a balance between innovation, national security, and the protection of fundamental rights. Meanwhile, the roles of AI and cross-border data flows remained central to many discussions. Belo...

Weiterlesen

Zusammenfassung

This is a summary of data privacy-related news from around the world that we published on LinkedIn in March 2026.

2 Minuten Lesezeit

23 März

EuGH-Urteil: Rechtsmissbrauch bei DSGVO-Auskunftsanträgen – Eine neue Verteidigungslinie für Unternehmen

Ein wegweisendes Urteil für die Praxis Mit seiner Entscheidung vom 19. März 2026 in der Rechtssache C-526/24 hat der Europäische Gerichtshof (EuGH) eine praxisrelevante und dogmatisch wichtige Abgrenzung im Datenschutzrecht vorgenommen. Er definiert die Kriterien, unter denen ein Auskunftsbegehren nach Art. 15 DSGVO als rechtsmissbräuchlich und somit als „offensichtlich unbegründet“ im Sinne des Art. 12 Abs. 5 DSGVO qualifiziert werden kann. Rechtsmissbrauch als immanente Schranke des Ausku...

Weiterlesen

Zusammenfassung

Der EuGH hat entschieden, dass Auskunftsanträge nach Art. 15 DSGVO rechtsmissbräuchlich sein können, wenn sie nicht der Kontrolle der Datenverarbeitung, sondern sachfremden Zwecken wie Schadensersatz dienen. Die Beweislast dafür liegt vollständig beim Verantwortlichen und erfordert eine sorgfältige Prüfung im Einzelfall. Zudem besteht ein Anspruch auf immateriellen Schadensersatz nur bei einem tatsächlich nachweisbaren Schaden, der über bloße Unannehmlichkeiten hinausgeht. Das Urteil stärkt damit die Position von Unternehmen, stellt aber hohe Anforderungen an Nachweis und Dokumentation.

4 Minuten Lesezeit

18 März

Weiterentwicklung unserer eLearning Schulungsplattform: Einbeziehung von sprechenden Avataren

Wir haben unsere Schulungsplattform um ein neues Element ergänzt: In unseren Basisschulungen werden die bislang überwiegend textbasierten Inhalte nun zusätzlich durch Avatare vorgetragen. Avatare werden gelegentlich auch als digitale Agenten bezeichnet. Wir nennen sie „Dginiies“, was bereits auf unsere Planung weiterer Verwendungen hinweisen mag. Zunächst steht unsere Überlegung im Vordergrund, für den Lernvorgang die visuelle und auditive Wahrnehmung zusätzlich zu nutzen. Paralle...

Weiterlesen

Zusammenfassung

In unseren eLearning Basisschulungen werden die bislang überwiegend textbasierten Inhalte nun zusätzlich durch Avatare vorgetragen.

2 Minuten Lesezeit