Kein Geld für „Kontrollverlust“ – Das Bundesarbeitsgericht konkretisiert Anforderungen an DSGVO-Schadenersatz

Verzögerte Auskünfte sind ärgerlich – aber nicht immer schadensersatzpflichtig. Das hat das Bundesarbeitsgericht (BAG) in einem wegweisenden Urteil vom 20. Februar 2025 klargestellt (Az. 8 AZR 61/24). Es geht um die Frage, wann eine verspätete Auskunft über personenbezogene Daten nach Art. 15 DSGVO tatsächlich zu einem immateriellen Schaden führt – und wann nicht.

Weiterlesen
Veröffentlicht unter Uncategorized | Schreib einen Kommentar

Datenschutz & Künstliche Intelligenz: Wo die Rechtsgrundlagen greifen müssen

Die rasante Entwicklung von Künstlicher Intelligenz (KI) stellt Unternehmen, Behörden und Bildungseinrichtungen vor neue Herausforderungen – auch und gerade in datenschutzrechtlicher Hinsicht. Mit der Veröffentlichung der Version 2.0 des Diskussionspapiers „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ hat die baden-württembergische Aufsichtsbehörde eine wertvolle Orientierungshilfe vorgelegt. Ziel ist es, aufzuzeigen, unter welchen rechtlichen Voraussetzungen KI-Systeme datenschutzkonform eingesetzt werden können.

Weiterlesen
Veröffentlicht unter Unternehmen | Verschlagwortet mit , , , , , , , | Schreib einen Kommentar

Internationaler Datentransfer und Homeoffice im Drittstaat

In einer immer stärker vernetzten Arbeitswelt sind mobile Arbeitsmodelle längst keine Ausnahme mehr. Doch gerade beim Thema Homeoffice im Drittstaat geraten viele Unternehmen datenschutzrechtlich schnell ins Schwimmen. Welche Vorschriften gelten bei der Nutzung von Auftragsverarbeitern im Ausland oder bei Zugriffen durch Mitarbeitende außerhalb der EU?

Der Europäische Datenschutzausschuss (EDSA) hat hierzu im Jahr 2024 wichtige Leitlinien veröffentlicht. Was Sie daraus für Ihre Datenschutzpraxis ableiten sollten, haben wir für Sie zusammengefasst.

Was gilt als internationaler Datentransfer?

Ein „Transfer“ im Sinne der DSGVO liegt laut aktueller Definition des EDSA nur dann vor, wenn folgende drei Voraussetzungen erfüllt sind:

  • Der Datenexporteur unterliegt der DSGVO.
  • Es erfolgt eine Datenoffenlegung an eine andere Stelle (z. B. Dienstleister oder Partner).
  • Die Empfängerseite (Importeur) befindet sich außerhalb der EU bzw. des EWR.

Wenn alle drei Bedingungen erfüllt sind, gelten die strengen Anforderungen des Kapitel 5 DSGVO – insbesondere in Bezug auf geeignete Schutzmaßnahmen (z. B. Standardvertragsklauseln, TIA).

Homeoffice in Drittstaaten – kein Transfer, aber trotzdem relevant

Arbeitet ein Beschäftigter im Homeoffice außerhalb der EU, etwa auf Dienstreise oder im Ausland, liegt formal kein internationaler Datentransfer im Sinne von Kapitel 5 vor – sofern er nur innerhalb der gleichen verantwortlichen Stelle oder eines Auftragsverarbeiters auf die Daten zugreift.

Dennoch dürfen damit verbundene Risiken nicht ignoriert werden. Der EDSA macht deutlich:
👉 Auch ohne offiziellen Transfer müssen Unternehmen technische und organisatorische Schutzmaßnahmen nach Art. 24 und 32 DSGVO treffen. Dazu gehört insbesondere ein Transfer Impact Assessment (TIA) – also eine Analyse der Rechtslage im jeweiligen Drittstaat.

Wie Sie sich auf Homeoffice und Drittstaatenzugriffe vorbereiten

Um datenschutzkonform zu handeln, sollten Unternehmen folgende Maßnahmen prüfen und ggf. umsetzen:

  • Datenverschlüsselung, insbesondere bei Speicherung und Übertragung
  • Pseudonymisierung, wenn möglich
  • Backup-Lösungen, die keinen Zugriff auf Klartextdaten erfordern
  • Zugriffsbeschränkungen und Rechtekontrolle
  • Interne Richtlinien für mobiles Arbeiten aus Drittstaaten

Für Staaten wie Indien, Brasilien, China oder Russland gibt es vom EDSA veröffentlichte Risikoanalysen zu staatlichen Zugriffen, die eine gute Grundlage für ein TIA bilden können.

Auftragsverarbeitung und Weitergabe an Dritte – wer trägt die Verantwortung?

Besonders wichtig: Auch wenn die Datenweitergabe an Dritte über einen Dienstleister erfolgt, bleibt die Verantwortung beim beauftragenden Unternehmen. Der EDSA stellt klar:

👉 Verantwortliche Stellen müssen über alle eingesetzten Unterauftragsverarbeiter informiert sein – inklusive Name, Adresse und Kontaktperson.

Kommt es zu einem Transfer durch den Auftragsverarbeiter in ein Drittland, muss die verantwortliche Stelle:

  • informiert werden,
  • ein Transfer Impact Assessment erhalten,
  • und die Entscheidung treffen, ob sie den Risikoeinschätzungen des Dienstleisters vertraut.

Fehlen Informationen oder bestehen Zweifel an deren Richtigkeit, besteht eine aktive Prüfungspflicht.

Handlungsempfehlungen für Unternehmen

Damit Sie im internationalen Kontext DSGVO-konform bleiben, sollten Sie:

  • Ihre Verträge zur Auftragsverarbeitung auf Vollständigkeit prüfen
  • Regelmäßig kontrollieren, ob Unterauftragnehmer in Drittländern einbezogen sind
  • TIA-Dokumentationen zu Drittstaatenübermittlungen anfordern und bewerten
  • Zugriffe aus dem Ausland in der IT-Sicherheitsstrategie berücksichtigen
  • Ihre Belegschaft für das Thema Homeoffice & Datenschutz sensibilisieren

Fazit: Auch ohne „Transfer“ sind Drittstaaten ein Risiko

Der Begriff des Datentransfers wurde durch den EDSA klarer gefasst – aber nicht jede Drittstaatenverbindung ist automatisch rechtssicher. Besonders beim mobilen Arbeiten außerhalb der EU sind Unternehmen gefordert, verantwortungsvoll zu handeln und Vorkehrungen zu treffen.

Sie möchten wissen, wie sich die neuen Vorgaben auf Ihre Systeme auswirken oder ob bestehende Verarbeitungsverhältnisse angepasst werden müssen? Gern stehen wir Ihnen beratend zur Seite – kompetent, verständlich und lösungsorientiert.

Veröffentlicht unter Arbeitgeber, Arbeitnehmer | Verschlagwortet mit , , , , , , , | Schreib einen Kommentar

Patientendaten und Auskunftspflichten

Der Schutz personenbezogener Daten gehört heute zum Alltag jeder Praxis. Besonders im Gesundheitsbereich ist der Umgang mit sensiblen Informationen rechtlich klar geregelt – allen voran durch die Datenschutz-Grundverordnung (DSGVO). Ein zentrales Thema dabei: Das Auskunftsrecht der Patienten nach Art. 15 DSGVO.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Schreib einen Kommentar

Videoüberwachung in Wohnanlagen: Wenn der Datenschutz an der Wohnungstür endet

Immer mehr Investoren modernisieren Wohnobjekte – nicht selten auf Kosten der Privatsphäre der Bewohner. Aktuelle Beschwerden zeigen, dass Videoüberwachung in Wohnhäusern nicht nur technisch, sondern auch datenschutzrechtlich hochproblematisch ist. Eine Entscheidung des Bundesgerichtshofs bringt nun zusätzliche Klarheit: Heimliche Aufnahmen aus dem Treppenhaus sind unzulässig – und dürfen auch in zivilrechtlichen Verfahren nicht verwertet werden.

Weiterlesen
Veröffentlicht unter Unternehmen | Schreib einen Kommentar

DSGVO-Verstöße im Bewerbungsverfahren: Wenn der Virenscan zur Datenpanne wird

Ob falsch eingesetzte Fragebögen oder leichtfertige Uploads sensibler Unterlagen: Datenschutzverstöße im Rahmen von Bewerbungsverfahren sind keine Seltenheit – und sie haben Konsequenzen. Zwei aktuelle Fälle aus der Praxis der Datenschutzaufsicht zeigen deutlich, welche Fehler Unternehmen vermeiden müssen, wenn sie personenbezogene Daten im Recruiting verarbeiten.

Weiterlesen
Veröffentlicht unter Arbeitgeber, Bewerber | Verschlagwortet mit , , , , , , , , , , , , , , | Schreib einen Kommentar

Malware-Scanner im Unternehmen: Datenschutzrechtliche Grenzen und Pflichten

Schadsoftware erkennen – aber rechtskonform

Cyberangriffe, Datenpannen und Sicherheitslücken sind längst keine Ausnahme mehr, sondern gehören zum digitalen Alltag von Unternehmen und Behörden. Um Angriffe frühzeitig zu erkennen, setzen viele Organisationen auf Malware-Scanner oder komplexe Sicherheitslösungen wie EDR-Systeme mit TLS-Inspection. Doch dabei lauern datenschutzrechtliche Risiken, die schnell zu Problemen führen können.

Weiterlesen
Veröffentlicht unter Uncategorized | Schreib einen Kommentar

IT-Notfallkommunikation: Wann dürfen Arbeitgeber auf private Kontaktdaten zugreifen?

DSGVO-konforme Nutzung privater Telefonnummern und E-Mail-Adressen in Krisensituationen

In der digitalen Arbeitswelt ist ein funktionierendes Notfallmanagement essenziell. Doch was passiert, wenn bei einem IT-Sicherheitsvorfall die interne Kommunikationsinfrastruktur ausfällt? Viele Unternehmen stehen dann vor einer heiklen Frage: Dürfen private Telefonnummern und E-Mail-Adressen von Beschäftigten zur Kontaktaufnahme verwendet werden?

Weiterlesen
Veröffentlicht unter Arbeitgeber, Arbeitnehmer, Betriebsrat | Verschlagwortet mit , , , , , , , , , , | Schreib einen Kommentar

Datenschutzrecht im Fokus: Wenn die DSGVO zum Geschäftsmodell wird

Urteil aus Mainz: Kein Anspruch auf Auskunft, Löschung oder Schadensersatz

Das Amtsgericht Mainz hat in einem aktuellen Urteil vom 27. März 2025 (Az. 88 C 200/24) eine Klage auf Grundlage der Datenschutz-Grundverordnung (DSGVO) abgewiesen – und sendet damit ein deutliches Signal an jene, die Datenschutzrechte möglicherweise zweckentfremden. Im Zentrum des Falles stand ein Unternehmer aus dem Bereich Onlinemarketing, der einem Zahnarzt Datenschutzverstöße vorwarf und daraufhin Schadensersatz sowie Auskunfts- und Löschungsansprüche geltend machte.

Weiterlesen
Veröffentlicht unter Unternehmen | Verschlagwortet mit , , , , , , , , , | Schreib einen Kommentar

Dokumente richtig schwärzen – so geht’s datenschutzkonform

Ob in der Personalakte, im Gutachten oder bei der Weitergabe von Bildern: Wer personenbezogene Daten nicht oder nur unzureichend schwärzt, riskiert schwerwiegende Datenschutzverstöße. Die Datenschutzstelle des Fürstentums Liechtenstein warnt eindringlich vor optischen Täuschungen und gibt konkrete Empfehlungen, wie Schwärzungen rechtssicher und DSGVO-konform vorgenommen werden sollten – digital wie analog.

Weiterlesen
Veröffentlicht unter Unternehmen | Verschlagwortet mit , , , , , , , , , , , , , , | Kommentare deaktiviert für Dokumente richtig schwärzen – so geht’s datenschutzkonform