KI im Unternehmen: Wann ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen?

Künstliche Intelligenz (KI) wie ChatGPT, Microsoft Copilot oder Midjourney ist aus dem Arbeitsalltag kaum noch wegzudenken. Sie schreibt E-Mails, programmiert Code oder fasst lange Berichte zusammen. Doch während die Effizienz steigt, wachsen auch die rechtlichen Anforderungen. Viele Unternehmen stellen sich aktuell die Frage: Dürfen wir diese Tools einfach so nutzen, oder müssen wir vorher eine […]

Kontrollpflichten bei (Ketten)-Auftragsverarbeitung

Mit der Stellungnahme 22/2024 hat der Europäische Datenschutzausschuss (EDSA) wichtige Klarstellungen zur Rolle und Verantwortung von Verantwortlichen bei der Zusammenarbeit mit Auftragsverarbeitern getroffen. Insbesondere bei mehrstufigen Verarbeitungsprozessen, also dann, wenn nicht nur ein Auftragsverarbeiter, sondern zusätzlich auch Unterauftragsverarbeiter eingebunden sind, stellt sich häufig die Frage, wie weit die Kontrollpflichten des Verantwortlichen tatsächlich reichen. Der EDSA […]

Auftragsverarbeitungsverträge – Kontrollpflichten von Verantwortlichen bei der Auftragsverarbeitung

Über die Kontrolle von Auftragsverarbeitern und (Unter-)Auftragnehmern haben wir bereits in einem früheren Beitrag berichtet (hier). Wichtig im Zusammenhang mit der Beauftragung von Auftragsverarbeitern ist unter anderem die Gewährleistung der Umsetzung adäquater technischer und organisatorischer Maßnahmen (TOM) gemäß Art. 32 Abs. 1 DSGVO. Auch das OLG Dresden (Urteil vom 15. Oktober 2024, Az. 4 U […]

Was Online-Shops wissen müssen: EuGH-Urteil zu Gesundheitsdaten

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO ist nur unter besonderen Umständen erlaubt. Da es hierzu immer wieder interessante Neuigkeiten und Gerichtsurteile gibt, hatten wir dieses Thema schon häufiger in unseren Beiträgen. So beispielsweise hier, hier, hier oder hier. Nun gibt es mal wieder was Neues zu diesem Thema. Kein […]

Dürfen Dienstleister im Gesundheitswesen eingesetzt werden?

Grundsätzlich dürfen Verantwortliche Dienstleistungen im Rahmen einer Auftragsverarbeitung auslagern, also von externen Dienstleistern erledigen lassen. Einen besonderen Grund oder gar eine besondere Rechtsgrundlage für eine solche Auslagerung benötigt man nicht. Man kann dies einfach tun, wenn man es möchte. In der Regel werden es Effizienz- oder Kostengründe sein, die eine solche Auslagerung sinnvoll erscheinen lassen. […]

Ist die Einwilligung in den Verzicht auf Datenschutz möglich?

„Mehrere Beschwerden wurden bei uns eingereicht laut denen verschiedene Arztpraxen Arbeitsunfähigkeitsbescheinigungen bzw. Rezepte zur Abholung durch deren Patient:innen an der Außenseite der Praxistüre angebracht hatten bzw. auf dem Tisch vor der Praxistür auslegten. Teilweise wurde dies auch um weitere Patientenunterlagen zur Abholung wie Überweisungen oder Krankenkarten zum Einlesen erweitert.“ Die Bayerische Datenschutzaufsichtsbehörde für den nichtöffentlichen […]

Datenschutz im Beschäftigungsverhältnis – Anforderungen der Aufsichtsbehörden

Im Rahmen eines Beschäftigungsverhältnisses werden durch die jeweiligen Arbeitgebenden in großem Umfang Daten der Beschäftigten verarbeitet. Dabei ist diese Verarbeitung in vielen Fällen deshalb problematisch, weil der Schutz der Rechte und Freiheiten der Beschäftigten gegen das Interesse der Arbeitgebenden an der Verarbeitung und Nutzung der Informationen über die Beschäftigten leider nicht oder zumindest zu einseitig […]

Datenverarbeitung im Rahmen der Rechtsverfolgung und -verteidigung

Nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 haben wir im Rahmen der Durchführung von Schulungen und auch bei unseren Beratungsgesprächen recht früh gemerkt, dass die Regelungsgrundsätze der DSGVO und insbesondere der Rechtmäßigkeitsgrundsatz, der von Juristen als „Verbot mit Erlaubnisvorbehalt“ für Laien recht kryptisch umschrieben wird, auch unter Verweis auf die entsprechenden Normen nicht selbsterklärend […]

Data Governance Act und Data Act: Neue Verordnungen in Sicht

Wer im Jahr 2018 dachte, mit der DSGVO hätten wir nun genug Regulierung zum Datenschutz, hat sich geirrt. Zum einen kam mit Wirksamwerden der DSGVO gleich noch ein neues Bundesdatenschutzgesetz (BDSG) sowie diverse Landesdatenschutzgesetze (LDSG). Zum anderen haben wir zum 01.12.2021 das TTDSG (der ausgeschriebene Name ist so lang, auf den verzichten wir hier) bekommen. […]

Dürfen private Kontaktdaten Beschäftigter verarbeitet werden?

Bevor wir uns mit den Details dieses Themas beschäftigen, geben wir zunächst einen Überblick über die hierzu bestehende aktuelle Gesetzeslage. Dies hilft, die Situation und die bestehende Problematik besser nachvollziehen zu können. Der Beschäftigtendatenschutz ist aktuell in § 26 Bundesdatenschutzgesetz (BDSG) sowie für den öffentlichen Sektor in einer Reihe landesrechtlicher Gesetze nur sehr allgemein geregelt. […]