Zum Inhalt springen

Datenschutz in der Praxis

KW 24

VW kann Geldbuße gerichtlich abwehren – DS News KW 24/2025

    Was ist in der KW 24 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

    Zur Gleichwertigkeit von Cookie Bannern
    https://www.juris.de/static/infodienst/autoren/D_NJRE001608982.htm

    https://www.delegedata.de/

    Panne bei der Staatsanwaltschaft besiegelt die Bußgeldfreiheit für VW

    Umfrage des TÜV-Verbands und des BSI zur Cybersicherheit in Unternehmen
    https://www.tuev-verband.de/fileadmin/user_upload/Content_local/Studien_local/2025_TUEV-Verband_Cybersecurity-Studie_Studienbericht.pdf

    Kritische Zero-Click-Sicherheitslücke namens „EchoLeak“ in Microsoft 365 Copilot entdeckt
    https://www.aim.security/lp/aim-labs-echoleak-blogpost

    Veröffentlichungen & Veranstaltungen:

    Reform oder Reförmchen: Stiftung Datenschutz lädt am 18. Juni 2025 um 16:00 Uhr zu einer Online-Diskussion
    https://stiftungdatenschutz.org/veranstaltungen/unsere-veranstaltungen-detailansicht/datenschutzdiskurs-dsgvo-reform-oder-refoermchen-577

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/vw-kann-geldbuße-gerichtlich-abwehren-ds-news-kw-24-2025/↗

    migosens Podcast

    Geheimes Tracking durch Meta – DS News KW 23/2025

      Was ist in der KW 23 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

      Datenleck bei Corplife – einer der führenden Plattformen für Mitarbeiterbenefits

      Geheimes Tracking? Meta soll Android-Nutzer ausspionieren

      Vergleichsklausel schließt Art. 15 DSGVO wirksam aus, so das OVG Saarlouis am 13. Mai 2025 (Az. 2 A 165/24)

      Absage ohne Auskunft – 1.000 € Schadenersatz für unvollständige DSGVO-Auskunft

      Urteil des Arbeitsgerichts Düsseldorf (12. Kammer) vom 6. Februar 2025 – Az. 12 Ca 3221/24

      Verbandsklage gegen TikTok: Somi fordert Schadensersatz wegen Datenschutzverstößen

      NOYB prüft Sammelklage gegen CRIF wegen automatisierten Scorings von Millionen Personen

      45-Millionen-Euro-Bußgeld gegen Vodafone – BfDI sanktioniert Kontrollversäumnisse und Sicherheitslücken

      Veröffentlichen und Veranstaltungen:

      EDPB veröffentlicht finale Leitlinien zu Datenübermittlungen n Behörden in Drittländern

      EDPB veröffentlicht Trainingsmaterial zu KI und Datenschutz – Pilotprojekt für kollaborative Weiterentwicklung gestartet

      DSK-Beschluss: Zulässigkeit der Übermittlung von Mieter:innendaten an Strom-Grundversorger

      Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

      Twitter: https://twitter.com/DS_Talk

      Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

      (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

      Instagram: https://www.instagram.com/datenschutztalk_podcast/

      Folge hier kommentieren: https://migosens.de/geheimes

      Verbraucherzentrale scheitert gegen Metas KI Training – DS News KW 22/2025

        Was ist in der KW 22 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

        – Aktuelle Themenfolge zu NIS2-Pflichten für Unternehmen

        – OLG Köln zu Meta KI Training (OLG Köln, Urteil vom 23.5.2025 – 15 UKl 2/25)

        – Urteil stärkt die Rolle des PCLOB als unabhängige Kontrollinstanz im Data Privacy Framework

        – BSI weist auf Sicherheitsrisiko bei Passwortmanagern hin

        – Nachvertragliche Werbung, auch in Form von Haustürbesuchen, kann ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO darstellen (VG Bremen, Urteil vom 23.04.2025, Az. 4 K 2873/23)

        Veröffentlichungen und Veranstaltungen:

        – Zum Verhältnis von § 7 UWG und Artikel 6 DSGVO (DSB 2025, 140 und BVerwG, Urt. v. 29.01.2025 – 6 C 3.23)

        – BSI Cyber-Sicherheitsempfehlung

        – Einladung der Vereinigung der Europäische Datenschutzbeauftragten zur Zukunft des DPF

        Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

        Twitter: https://twitter.com/DS_Talk

        Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

        (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

        Instagram: https://www.instagram.com/datenschutztalk_podcast/

        Folge hier kommentieren: https://migos

        migosens Podcast

        META KI Training – letzte Chance zum Widerspruch – DS News KW 21/2025

          Was ist in der KW 21 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

          Meta KI Training: Datenschutzbeauftragte fordern öffentliche Stellen zum Handeln auf

          VG Hannover zu manipulativen Cookie-Bannern

          Kein Herausgabeanspruch von Überwachungsvideos im OPNV nach der DSGVO OVG Brandenburg, Urteil vom 13. Mai 2025 – OVG 12 B 14/23 –

          CNIL verhängt Bußgeld in Höhe von 900.000€

          Sammelklage gegen X

          Empfehlungen:

          Datenschutzbericht 2024 des HBDI

          4. Datenschutztag Hessen & Rheinland Pfalz

          Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

          Twitter: https://twitter.com/DS_Talk

          Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

          (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

          Instagram: https://www.instagram.com/datenschutztalk_podcast/

          Folge hier kommentieren: https://migosens.de/meta-ki-training-letzte-chance-zum-widerspruch-ds-news-kw-21-2025/↗

          migosens DS-Talk

          530 Millionen Euro Bußgeld gegen TikTok – DS News KW 19/2025

            Was ist in der KW 19 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

            Verbraucherzentrale gegen Meta: Abmahnung wegen KI-Training mit Nutzerdaten

            DPC verhängt 530 Millionen-Euro-Strafe gegen Tik Tok wegen DSGVOverstoß bei Kinder-Accounts

            Landesarbeitsgericht Köln, Urteil vom 11.2.2025 – 7 Sa 635/23

            Datenleck bei Reha Vita: 17.000 Patientendaten durch veraltete IT öffentlich einsehbar

            Stellungnahme des EDSA zu Angemessenheitsbeschlüssen

            Nach USA-Besuch: BfGI besorgt, ob Datenschutzzusagen langfristig gehalten werden können

            Empfehlungen:

            Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit: Neues EU-Projekt zum Datenschutz für Kultur und Bildung

            Neue Termine für kostenfreie Schulungen im Bildungszentrum BIDIB (BaWÜ)

            EDSA zum Vorschlag der Kommission zur Vereinfachung der Dokumentationspflichten des VVT

            Cover Themenfolge NIS2 in aller Kürze - Stephan Auge

            NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk

              Die EU-Richtlinie NIS2 verpflichtet künftig deutlich mehr Unternehmen zur Umsetzung von Maßnahmen der Informationssicherheit. Doch für wen gilt die Richtlinie eigentlich? Was ist jetzt konkret zu tun? Und wo liegen die Unterschiede zur bisherigen Kritis-Regulierung oder zur Datenschutz-Grundverordnung?

              In dieser Themenfolge des Datenschutz Talks gibt Stephan Auge, Teamleiter für Managementsysteme bei migosens, einen kompakten Überblick über die aktuelle Rechtslage, die Anforderungen der Richtlinie und praktische Umsetzungsfragen.

              Was du aus dieser Folge mitnimmst:

              Was ist NIS2?

              Ziel: Harmonisierung der Cybersicherheitsstandards in der EU

              Hintergrund: Richtlinie ist seit Dezember 2022 in Kraft

              Umsetzung in nationales Recht bis Mitte/Ende 2025 (geplant)

              Abgrenzung zur DSGVO und zum Cyber Resilience Act

              Für wen gilt NIS2?

              Gilt für besonders wichtige und wichtige Einrichtungen gemäß Anlage 1 und 2 der Richtlinie

              Betrifft neben KRITIS-Unternehmen auch kleinere Unternehmen aus TK, Gesundheitswesen, Energie, Transport, Entsorgung u. v. m.

              Keine generelle Schwellenwertgrenze: auch Kleinstunternehmen können betroffen sein

              BSI stellt ein Tool zur Betroffenheitsprüfung bereit

              Welche Pflichten entstehen?

              Selbstregistrierungspflicht beim BSI innerhalb von 3 Monaten nach Inkrafttreten

              Umsetzung technischer und organisatorischer Maßnahmen (z. B. Risikomanagement, Incident-Handling, Notfallmanagement)

              Aufbau eines Informationssicherheits-Managementsystems (ISMS) analog ISO 27001

              Einführung strukturierter Prozesse zur Meldung von Sicherheitsvorfällen

              Risikobasierte oder vorfallsbezogene Prüfungspflichten je nach Kategorisierung

              Was bedeutet das für bestehende KRITIS-Unternehmen?

              Grundanforderungen weitgehend deckungsgleich mit bisherigen BSI-Nachweisverfahren

              Erleichterung: Prüfpflicht künftig nur alle drei statt alle zwei Jahre

              Synergien zwischen NIS2, ISO 27001 und Datenschutzprozessen sinnvoll nutzbar

              Herausforderungen beim Lieferkettenmanagement

              Neue Anforderungen an Zulieferer und Dienstleister mit sicherheitsrelevanter Rolle

              Verpflichtung zur vertraglichen Übernahme von Sicherheitsvorgaben

              Notwendigkeit von Audits oder anderweitiger Steuerungsmaßnahmen

              Empfehlung: Business Impact Analyse zur Priorisierung kritischer Dienstleister

              Sanktionen und Wettbewerbsvorteile

              Sanktionsrahmen: bis zu 10 Mio. Euro oder 2 % vom weltweiten Umsatz (Anlage 1)

              Für Anlage 2: bis zu 7 Mio. Euro oder 1,4 % vom Umsatz

              Frühzeitige Umsetzung von ISMS als Wettbewerbsvorteil – z. B. bei Ausschreibungen

              Informationssicherheit wird zum geschäftskritischen Erfolgsfaktor

              Keywords, die in dieser Folge behandelt werden:

              NIS2 Richtlinie 2025

              NIS2 Anforderungen Unternehmen

              Informationssicherheit Pflicht

              Cybersecurity Gesetz EU

              NIS2 Umsetzung Deutschland

              Betroffenheitsanalyse NIS2

              ISMS NIS2 ISO 27001

              Datenschutz und NIS2

              Vorfallmeldung BSI

              Lieferkettensicherheit NIS2

              Managementsystem Informationssicherheit

              DORA vs. NIS2

              Cyber Resilience Act EU

              Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

              Twitter: https://twitter.com/DS_Talk

              Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

              (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

              Instagram: https://www.instagram.com/datenschutztalk_podcast/

              Folge hier kommentieren: https://migosens.de/nis2-pflichten-fuer-unternehmen-das-musst-du-wissen-stephan-auge-im-datenschutz-talk/

              eBay plant KI-Training mit Nutzerdaten – DS News KW 18/2025

                Was ist in der KW 18 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

                – KI-Webseitenklonung: Neue Bedrohung für Phishing-Angriffe (https://www.netcraft.com/blog/ai-enabled-darcula-suite-makes-phishing-kits-more-accessible-easier-to-deploy/)

                – eBay will Nutzerdaten für KI Training verwenden (https://www.lda.brandenburg.de/lda/de/service/presseinformationen/details-presse/~29-04-2025-ebay-gmbh-personenbezogene-daten-sollen-kuenstliche-intelligenz-trainieren)

                – Bußgeld gegen die Griechische Nationalbank (https://www.edpb.europa.eu/news/national-news/2025/imposition-fine-bank-incident-personal-data-breach_de)

                Veröffentlichung und Veranstaltung:

                – HmbBfDI – Handreichung zum Data Act (https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/250429_Information_Data_Act_und_Datenschutz.pdf)

                – Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg – Datenpannen-Management– Grundlagen und Praxishinweise (https://www.baden-wuerttemberg.datenschutz.de/offene-veranstaltung-2025-012/)

                Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                Twitter: https://twitter.com/DS_Talk

                Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                Instagram: https://www.instagram.com/datenschutztalk_podcast/

                Folge hier kommentieren: https://migosens.de/ebay-plant-ki-training-mit-nutzerdaten-ds-news-kw-18-2025/

                Jede fünfte Website verstößt gegen Datenschutzvorgaben- DS News KW 17/2025

                  Was ist in der KW 17 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

                  – Schadensersatz wegen fehlender datenschutzfreundlicher Voreinstellungen (Urteil vom 8.4.2025 – 6 U 79/23)

                  – 200 Mio.-Strafe für Meta wegen DMA-Verstoß https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=141298&anz=1148&pos=4

                  – BGH zu Auskuftsrecht für Gesellschafter https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=141298&anz=1148&pos=4

                  – Hertz Kunden von Datenleck betroffen https://www.hertz.com/content/dam/hertz/global/resources/Notice_of_Data_Incident-EU.pdf

                  – Verstoß bei jeder fünften geprüften Webseite in Hamburg https://datenschutz-hamburg.de/news/tracking-durch-drittdienste-185-von-1000-geprueften-websites-muessen-nachbessern

                  Veröffentlichungen und Veranstaltungen:

                  – Der HmbBfDI lädt ein zum 4. Hamburger Datenschutzforum https://datenschutz-hamburg.de/news/der-hmbbfdi-laedt-ein-zum-4-hamburger-datenschutzforum

                  – Der Europäische Datenschutzausschuss (EDSA) hat seinen Jahresbericht veröffentlicht https://www.edpb.europa.eu/our-work-tools/our-documents/annual-report/edpb-annual-report-2024_en

                  Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                  Twitter: https://twitter.com/DS_Talk

                  Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                  (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                  Instagram: https://www.instagram.com/datenschutztalk_podcast/

                  Folge hier kommentieren: https://migosens.de/jede-funfte-website-verstoßt-gegen-datenschutzvorgaben-ds-news-kw-17-2025/

                  Cover Michael Will

                  Verwendung der Anrede nach dem EuGH-Urteil C-394/23 – Michael Will im Datenschutz Talk Podcast

                    Darf ich Kunden noch mit „Herr“ oder „Frau“ ansprechen – oder ist das bereits ein Datenschutzverstoß?
                    Diese Frage bewegt aktuell viele Unternehmen. Anlass ist das EuGH-Urteil C-394/23, das die Pflicht zur Anrede bei SNCF Connect für unzulässig erklärt hat. Der Grund: Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 DSGVO.

                    In dieser Themenfolge des Datenschutz Talks analysieren wir das Urteil gemeinsam mit Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Dabei geht es nicht nur um die juristische Bewertung, sondern vor allem um die praktischen Folgen für Unternehmen, Datenschutzbeauftragte und Geschäftsführungen.

                    Was du aus dieser Folge mitnimmst:

                    Ausgangspunkt des Urteils: Was ist passiert?

                    Der Fall „Mousse gegen CNIL und SNCF Connect“: Pflichtfeld Anrede: „Herr“ oder „Frau“ beim Online-Ticketkauf.

                    Warum der EuGH darin einen Verstoß gegen die DSGVO sieht.

                    Bedeutung des Begriffs „erforderlich“ im Rahmen der Datenminimierung.

                    EuGH-Urteil zur Anrede: Was steht in der Begründung?

                    Warum die Anrede nicht zur Vertragserfüllung nötig ist.

                    Warum der EuGH eine inklusivere, neutrale Ansprache fordert.

                    Wie sich der Begriff „Erforderlichkeit“ verschärft hat.

                    Was ändert sich durch das Urteil in der Praxis?

                    Müssen Formulare mit Anredefeldern jetzt angepasst werden?

                    Reicht die Auswahloption „keine Angabe“ aus?

                    Dürfen Unternehmen noch personenbezogene Anreden in der 1:1-Kommunikation verwenden?

                    DSGVO & berechtigtes Interesse: Was gilt künftig?

                    Warum der EuGH das berechtigte Interesse der Bahn nicht gelten ließ.

                    Welche Anforderungen nun an Artikel 6 Abs. 1 lit. f DSGVO gestellt werden.

                    Was passiert, wenn der Zweck bzw. das berechtigte Interesse nicht in der Datenschutzerklärung steht?

                    Müssen Daten jetzt gelöscht werden?

                    Einwilligung oder berechtigtes Interesse? Was der EuGH wirklich meint

                    Deutet sich ein Vorrang der Einwilligung an?

                    Welche Rolle spielen Informationspflichten nach Artikel 13 DSGVO?

                    Warum Einwilligung allein nicht automatisch sicher ist.

                    Handlungsempfehlungen für Unternehmen

                    Was Datenschutzbeauftragte jetzt konkret prüfen sollten.

                    Wie ein sauberes 6 Abs. 1 lit. f-Modell aufgebaut sein muss.

                    Welche Angaben in der Datenschutzerklärung nicht fehlen dürfen.

                    Wann Widerspruchsmöglichkeiten aktiv und technisch umsetzbar sein müssen.

                    Keywords, die in dieser Folge behandelt werden:

                    EuGH Urteil Anrede

                    Datenminimierung DSGVO

                    Pflichtfelder Webformulare

                    berechtigtes Interesse DSGVO

                    Einwilligung oder berechtigtes Interesse

                    Artikel 13 DSGVO Informationspflicht

                    personenbezogene Anrede Datenschutz

                    DSGVO Formulare Anrede

                    Datenschutz Aufsichtsbehörden Einschätzung

                    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                    Twitter: https://twitter.com/DS_Talk

                    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                    Instagram: https://www.instagram.com/datenschutztalk_podcast/

                    Folge hier kommentieren: https://migosens.de/verwendung-der-anrede-nach-dem-eugh-urteil-c-394-23-michael-will-im-datenschutz-talk-podcast/

                    DS-Talk KW 16

                    USA-Reisen nur noch mit Wegwerfhandys – DS News KW 16/2025

                      Was ist in der KW 16 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

                      1. Themenfolge 2025 mit Michael Will

                      LG Hamburg (Beschluss vom 04.03.2025, Az. 625 Qs 6/25 OWi (juris)): Bußgeldverfahren, Bewilligung der Herausgabe von Teilen des erlassenen Bußgeldbescheids

                      Schutz personenbezogener Daten über strafrechtliche Verurteilungen
                      EuGH (Urteil vom 07.03.2024 -C-740/22, Auslegung von Art. 2 Abs. 1, Art. 4 Nr. 2 und Art. 86 DSGVO)

                      Facebook & Instagram: Widerspruchsmöglichkeiten bei Metas KI-Training jetzt prüfen

                      DPC leitet offizielle Untersuchung gegen X ein: KI-Chatbot Grok

                      EU-Kommission:USA-Reisen nur noch mit Wegwerfhandys

                      Empfehlungen:

                      Fragebogen zur europaweiten Prüfaktion zum Recht auf Löschung ist online

                      Gegenstand öffentlicher Konsultation: Leitlinien 02/2025 zum Umgang mit personenbezogenen Daten in Blockchain-Technologien

                      Aktualisierung der Hilfeseite zu TikTok: Checkliste zum Einsatz von Tik Tok für öffentliche Stellen

                      Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                      Twitter: https://twitter.com/DS_Talk

                      Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                      (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                      Instagram: https://www.instagram.com/datenschutztalk_podcast/

                      Folge hier kommentieren: https://migosens.de/usa-reisen-nur-noch-mit-wegwerfhandys-ds-news-kw-16-2025/↗