Elbdeich-IT | Datenschutz in Hamburg und anderswo

Kein Geld für „Kontrollverlust“ – Das Bundesarbeitsgericht konkretisiert Anforderungen an DSGVO-Schadenersatz

Publiziert am 25. April 2025 von SWinkler

Verzögerte Auskünfte sind ärgerlich – aber nicht immer schadensersatzpflichtig. Das hat das Bundesarbeitsgericht (BAG) in einem wegweisenden Urteil vom 20. Februar 2025 klargestellt (Az. 8 AZR 61/24). Es geht um die Frage, wann eine verspätete Auskunft über personenbezogene Daten nach Art. 15 DSGVO tatsächlich zu einem immateriellen Schaden führt – und wann nicht.

Weiterlesen →

Veröffentlicht unter Uncategorized | Schreib einen Kommentar

Datenschutz & Künstliche Intelligenz: Wo die Rechtsgrundlagen greifen müssen

Publiziert am 24. April 2025 von SWinkler

Die rasante Entwicklung von Künstlicher Intelligenz (KI) stellt Unternehmen, Behörden und Bildungseinrichtungen vor neue Herausforderungen – auch und gerade in datenschutzrechtlicher Hinsicht. Mit der Veröffentlichung der Version 2.0 des Diskussionspapiers „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ hat die baden-württembergische Aufsichtsbehörde eine wertvolle Orientierungshilfe vorgelegt. Ziel ist es, aufzuzeigen, unter welchen rechtlichen Voraussetzungen KI-Systeme datenschutzkonform eingesetzt werden können.

Weiterlesen →

Veröffentlicht unter Unternehmen | Verschlagwortet mit Datenschutz KI, Diskussionspapier Datenschutz KI, Interessenabwägung Art. 6 Abs. 1 lit. f DSGVO, KI im Schulbereich Datenschutz, KI und Datenschutzrecht, Künstliche Intelligenz DSGVO, personenbezogene Daten KI, Transfer Impact Assessment KI | Schreib einen Kommentar

Internationaler Datentransfer und Homeoffice im Drittstaat

Publiziert am 23. April 2025 von SWinkler

In einer immer stärker vernetzten Arbeitswelt sind mobile Arbeitsmodelle längst keine Ausnahme mehr. Doch gerade beim Thema Homeoffice im Drittstaat geraten viele Unternehmen datenschutzrechtlich schnell ins Schwimmen. Welche Vorschriften gelten bei der Nutzung von Auftragsverarbeitern im Ausland oder bei Zugriffen durch Mitarbeitende außerhalb der EU?

Der Europäische Datenschutzausschuss (EDSA) hat hierzu im Jahr 2024 wichtige Leitlinien veröffentlicht. Was Sie daraus für Ihre Datenschutzpraxis ableiten sollten, haben wir für Sie zusammengefasst.

Was gilt als internationaler Datentransfer?

Ein „Transfer“ im Sinne der DSGVO liegt laut aktueller Definition des EDSA nur dann vor, wenn folgende drei Voraussetzungen erfüllt sind:

Der Datenexporteur unterliegt der DSGVO.
Es erfolgt eine Datenoffenlegung an eine andere Stelle (z. B. Dienstleister oder Partner).
Die Empfängerseite (Importeur) befindet sich außerhalb der EU bzw. des EWR.

Wenn alle drei Bedingungen erfüllt sind, gelten die strengen Anforderungen des Kapitel 5 DSGVO – insbesondere in Bezug auf geeignete Schutzmaßnahmen (z. B. Standardvertragsklauseln, TIA).

Homeoffice in Drittstaaten – kein Transfer, aber trotzdem relevant

Arbeitet ein Beschäftigter im Homeoffice außerhalb der EU, etwa auf Dienstreise oder im Ausland, liegt formal kein internationaler Datentransfer im Sinne von Kapitel 5 vor – sofern er nur innerhalb der gleichen verantwortlichen Stelle oder eines Auftragsverarbeiters auf die Daten zugreift.

Dennoch dürfen damit verbundene Risiken nicht ignoriert werden. Der EDSA macht deutlich: 👉 Auch ohne offiziellen Transfer müssen Unternehmen technische und organisatorische Schutzmaßnahmen nach Art. 24 und 32 DSGVO treffen. Dazu gehört insbesondere ein Transfer Impact Assessment (TIA) – also eine Analyse der Rechtslage im jeweiligen Drittstaat.

Wie Sie sich auf Homeoffice und Drittstaatenzugriffe vorbereiten

Um datenschutzkonform zu handeln, sollten Unternehmen folgende Maßnahmen prüfen und ggf. umsetzen:

Datenverschlüsselung, insbesondere bei Speicherung und Übertragung
Pseudonymisierung, wenn möglich
Backup-Lösungen, die keinen Zugriff auf Klartextdaten erfordern
Zugriffsbeschränkungen und Rechtekontrolle
Interne Richtlinien für mobiles Arbeiten aus Drittstaaten

Für Staaten wie Indien, Brasilien, China oder Russland gibt es vom EDSA veröffentlichte Risikoanalysen zu staatlichen Zugriffen, die eine gute Grundlage für ein TIA bilden können.

Auftragsverarbeitung und Weitergabe an Dritte – wer trägt die Verantwortung?

Besonders wichtig: Auch wenn die Datenweitergabe an Dritte über einen Dienstleister erfolgt, bleibt die Verantwortung beim beauftragenden Unternehmen. Der EDSA stellt klar:

👉 Verantwortliche Stellen müssen über alle eingesetzten Unterauftragsverarbeiter informiert sein – inklusive Name, Adresse und Kontaktperson.

Kommt es zu einem Transfer durch den Auftragsverarbeiter in ein Drittland, muss die verantwortliche Stelle:

informiert werden,
ein Transfer Impact Assessment erhalten,
und die Entscheidung treffen, ob sie den Risikoeinschätzungen des Dienstleisters vertraut.

Fehlen Informationen oder bestehen Zweifel an deren Richtigkeit, besteht eine aktive Prüfungspflicht.

Handlungsempfehlungen für Unternehmen

Damit Sie im internationalen Kontext DSGVO-konform bleiben, sollten Sie:

Ihre Verträge zur Auftragsverarbeitung auf Vollständigkeit prüfen
Regelmäßig kontrollieren, ob Unterauftragnehmer in Drittländern einbezogen sind
TIA-Dokumentationen zu Drittstaatenübermittlungen anfordern und bewerten
Zugriffe aus dem Ausland in der IT-Sicherheitsstrategie berücksichtigen
Ihre Belegschaft für das Thema Homeoffice & Datenschutz sensibilisieren

Fazit: Auch ohne „Transfer“ sind Drittstaaten ein Risiko

Der Begriff des Datentransfers wurde durch den EDSA klarer gefasst – aber nicht jede Drittstaatenverbindung ist automatisch rechtssicher. Besonders beim mobilen Arbeiten außerhalb der EU sind Unternehmen gefordert, verantwortungsvoll zu handeln und Vorkehrungen zu treffen.

Sie möchten wissen, wie sich die neuen Vorgaben auf Ihre Systeme auswirken oder ob bestehende Verarbeitungsverhältnisse angepasst werden müssen? Gern stehen wir Ihnen beratend zur Seite – kompetent, verständlich und lösungsorientiert.

Veröffentlicht unter Arbeitgeber, Arbeitnehmer | Verschlagwortet mit Auftragsverarbeitung Drittland, Datenexport EU Drittstaat, DSGVO internationaler Datentransfer, EDSA Homeoffice Bewertung, Homeoffice Drittstaat Datenschutz, Kapitel 5 DSGVO Anforderungen, technische und organisatorische Maßnahmen DSGVO, Transfer Impact Assessment TIA | Schreib einen Kommentar

Patientendaten und Auskunftspflichten

Publiziert am 22. April 2025 von SWinkler

Der Schutz personenbezogener Daten gehört heute zum Alltag jeder Praxis. Besonders im Gesundheitsbereich ist der Umgang mit sensiblen Informationen rechtlich klar geregelt – allen voran durch die Datenschutz-Grundverordnung (DSGVO). Ein zentrales Thema dabei: Das Auskunftsrecht der Patienten nach Art. 15 DSGVO.

Weiterlesen →

Veröffentlicht unter Uncategorized | Verschlagwortet mit § 630g BGB vs DSGVO, Art. 15 DSGVO Arztpraxis, Auskunft Patientenakte kostenlos, Berufsordnung Ärztekammer Auskunft, Datenschutz Arzt Praxis Umsetzung, DSGVO Arztpflichten, EuGH Urteil Patientenrechte, Patientenanfrage Datenschutz | Schreib einen Kommentar

Videoüberwachung in Wohnanlagen: Wenn der Datenschutz an der Wohnungstür endet

Publiziert am 19. April 2025 von SWinkler

Immer mehr Investoren modernisieren Wohnobjekte – nicht selten auf Kosten der Privatsphäre der Bewohner. Aktuelle Beschwerden zeigen, dass Videoüberwachung in Wohnhäusern nicht nur technisch, sondern auch datenschutzrechtlich hochproblematisch ist. Eine Entscheidung des Bundesgerichtshofs bringt nun zusätzliche Klarheit: Heimliche Aufnahmen aus dem Treppenhaus sind unzulässig – und dürfen auch in zivilrechtlichen Verfahren nicht verwertet werden.

Weiterlesen →

Veröffentlicht unter Unternehmen | Schreib einen Kommentar

DSGVO-Verstöße im Bewerbungsverfahren: Wenn der Virenscan zur Datenpanne wird

Publiziert am 18. April 2025 von SWinkler

Ob falsch eingesetzte Fragebögen oder leichtfertige Uploads sensibler Unterlagen: Datenschutzverstöße im Rahmen von Bewerbungsverfahren sind keine Seltenheit – und sie haben Konsequenzen. Zwei aktuelle Fälle aus der Praxis der Datenschutzaufsicht zeigen deutlich, welche Fehler Unternehmen vermeiden müssen, wenn sie personenbezogene Daten im Recruiting verarbeiten.

Weiterlesen →

Veröffentlicht unter Arbeitgeber, Bewerber | Verschlagwortet mit Alte Formulare DSGVO Risiko, Art. 6 und Art. 9 DSGVO Bewerbung, Bewerberdaten Datenpanne, Bewerberrechte Datenschutz, Bewerbungsfragebogen Krankheiten, Bewerbungsunterlagen öffentlich, Datenpanne Virenscan Bewerbung, Datenschutz Aufsichtsbehörde Verwarnung, Datenschutz Bewerbung, Datenschutzverletzung Unternehmen, DSGVO Bewerbungsverfahren, Einwilligung Bewerbung unwirksam, Fragebogen DSGVO unzulässig, Recruiting Datenschutz Compliance, Sensibilisierung Recruiting Datenschutz | Schreib einen Kommentar

Malware-Scanner im Unternehmen: Datenschutzrechtliche Grenzen und Pflichten

Publiziert am 17. April 2025 von SWinkler

Schadsoftware erkennen – aber rechtskonform

Cyberangriffe, Datenpannen und Sicherheitslücken sind längst keine Ausnahme mehr, sondern gehören zum digitalen Alltag von Unternehmen und Behörden. Um Angriffe frühzeitig zu erkennen, setzen viele Organisationen auf Malware-Scanner oder komplexe Sicherheitslösungen wie EDR-Systeme mit TLS-Inspection. Doch dabei lauern datenschutzrechtliche Risiken, die schnell zu Problemen führen können.

Weiterlesen →

Veröffentlicht unter Uncategorized | Schreib einen Kommentar

IT-Notfallkommunikation: Wann dürfen Arbeitgeber auf private Kontaktdaten zugreifen?

Publiziert am 16. April 2025 von SWinkler

DSGVO-konforme Nutzung privater Telefonnummern und E-Mail-Adressen in Krisensituationen

In der digitalen Arbeitswelt ist ein funktionierendes Notfallmanagement essenziell. Doch was passiert, wenn bei einem IT-Sicherheitsvorfall die interne Kommunikationsinfrastruktur ausfällt? Viele Unternehmen stehen dann vor einer heiklen Frage: Dürfen private Telefonnummern und E-Mail-Adressen von Beschäftigten zur Kontaktaufnahme verwendet werden?

Weiterlesen →

Veröffentlicht unter Arbeitgeber, Arbeitnehmer, Betriebsrat | Verschlagwortet mit Art. 6 Abs. 1 lit. f DSGVO, BSI Standard 100-4, Datenschutz IT-Notfall, DSGVO private Telefonnummer E-Mail, Erreichbarkeit in der Freizeit DSGVO, IT-Sicherheitsvorfall Kommunikation, Kontaktaufnahme Arbeitgeber Notfall, Notfallkommunikation DSGVO, Notfallmanagement Unternehmen, private Kontaktdaten Mitarbeiter, Zweckänderung personenbezogene Daten | Schreib einen Kommentar

Datenschutzrecht im Fokus: Wenn die DSGVO zum Geschäftsmodell wird

Publiziert am 15. April 2025 von SWinkler

Urteil aus Mainz: Kein Anspruch auf Auskunft, Löschung oder Schadensersatz

Das Amtsgericht Mainz hat in einem aktuellen Urteil vom 27. März 2025 (Az. 88 C 200/24) eine Klage auf Grundlage der Datenschutz-Grundverordnung (DSGVO) abgewiesen – und sendet damit ein deutliches Signal an jene, die Datenschutzrechte möglicherweise zweckentfremden. Im Zentrum des Falles stand ein Unternehmer aus dem Bereich Onlinemarketing, der einem Zahnarzt Datenschutzverstöße vorwarf und daraufhin Schadensersatz sowie Auskunfts- und Löschungsansprüche geltend machte.

Weiterlesen →

Veröffentlicht unter Unternehmen | Verschlagwortet mit Amtsgericht Mainz, Datenschutz für Zahnärzte, Datenschutz und Rechtsmissbrauch, datenschutzrechtliche Abmahnung, DSGVO Gutachten Kosten, DSGVO Missbrauch, DSGVO Schadensersatz, IP-Adresse personenbezogene Daten, Urteil 27. März 2025 (Az. 88 C 200/24), Webdesign und DSGVO | Schreib einen Kommentar

Dokumente richtig schwärzen – so geht’s datenschutzkonform

Publiziert am 5. April 2025 von SWinkler

Ob in der Personalakte, im Gutachten oder bei der Weitergabe von Bildern: Wer personenbezogene Daten nicht oder nur unzureichend schwärzt, riskiert schwerwiegende Datenschutzverstöße. Die Datenschutzstelle des Fürstentums Liechtenstein warnt eindringlich vor optischen Täuschungen und gibt konkrete Empfehlungen, wie Schwärzungen rechtssicher und DSGVO-konform vorgenommen werden sollten – digital wie analog.

Weiterlesen →

Veröffentlicht unter Unternehmen | Verschlagwortet mit Art. 25 DSGVO TOM Schwärzen, Bilder Schwärzen DSGVO-konform, Datenschutz Schwärzen Fehler, Datenschutzstelle Schwärzen Empfehlung, Dokumente richtig anonymisieren, DSGVO Schwärzen Dokumente, DSGVO Schwärzung Meldepflicht, EXIF-Daten Bilder löschen, Inkognito-Stempel Datenschutz, Metadaten entfernen Datenschutz, Office-Dokumente Schwärzen Anleitung, Schwärzen mit KI rückgängig, Schwärzen Word vs. PDF, Schwärzung PDF datenschutzkonform, Schwärzungssoftware DSGVO | Kommentare deaktiviert

Was gilt als internationaler Datentransfer?

Homeoffice in Drittstaaten – kein Transfer, aber trotzdem relevant

Wie Sie sich auf Homeoffice und Drittstaatenzugriffe vorbereiten

Auftragsverarbeitung und Weitergabe an Dritte – wer trägt die Verantwortung?

Handlungsempfehlungen für Unternehmen

Fazit: Auch ohne „Transfer“ sind Drittstaaten ein Risiko

Schadsoftware erkennen – aber rechtskonform

DSGVO-konforme Nutzung privater Telefonnummern und E-Mail-Adressen in Krisensituationen

Urteil aus Mainz: Kein Anspruch auf Auskunft, Löschung oder Schadensersatz

Recent Posts