Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

Meldungen

14.09.2025
Einladung & Programm: Siebter PinG-Nachwuchsworkshop am 09.10. und 10.10.2025 in Berlin

Du bist interessiert an einem spannenden Austausch zu aktuellen datenschutzrechtlichen Themen? Du bist Doktorand*in, Referendar*in, Berufsanfänger*in oder zählst dich anderweitig zum wissenschaftlichen Nachwuchs? Dann laden wir dich herzlich ein zu unserem kostenlosen PinG-Nachwuchsworkshop in Berlin am 09.10. und 10.10.2025. Teilnehmende können sich auf folgendes Programm freuen:   09.10.2025 HÄRTING Rechtsanwälte, Chausseestraße 13, Berlin-Mitte 19–21 Uhr Pizza & Kennenlernen   10.10.2025 Eventlocation La Cocotte, Vorbergstraße 10, Berlin-Schöneberg 9:00 Uhr: Begrüßung durch die PinG-Redaktion 9:10 Uhr: Warum (noch) publizieren? Gedanken zur Zukunft der RechtsWISSENSCHAFT Keynote von Dr. Jonas Botta, Forschungsreferent am Deutschen Forschungsinstitut für öffentliche Verwaltung 9:30 Uhr: Datenschutz in der medizinischen Forschung Vortrag von Anna Berry 10:15 Uhr: Die Zukunft des EU-US Data Privacy Framework Vortrag von Bennet Lindner 11:00 Uhr: Kaffeepause 11:15 Uhr: Gesetzgebung in Theorie und Praxis Vortrag von Konstantin Kuhle 12:00 Uhr: Neuer Rechtschutz gegen verbindliche Entscheidungen des EDSA? Vortrag von Hans-Hermann Schild 12:45 Uhr: Mittagspause 13:30 Uhr: Kippt jetzt die Stimmung? Wie verändert sich die Stimmung in Urteilen zu Art. 82 DSGVO nach einem Urteil des EuGH? Vortrag von Domenic Trybull 14:15 Uhr: Der Verschuldensbegriff in Art. 82 Abs. 3 DSGVO Vortrag von Jakob Feddersen 15:00 Uhr: KI, Art. 9 DSGVO und große Datensätze: Ein unlösbares Dilemma? Vortrag von Selma Nabulsi 15:45 Uhr: Kaffeepause 16:00 Uhr: Cyber Resilience Act und DSGVO Vortrag von Max Kroker 16:45 Uhr: Behördliche Entscheidungsunterstützung durch automatisierte Datenzusammenführung Vortrag von Tom Schuchort 17:30 Uhr: Abschlussrunde Anmeldungen sind bis zum 01.10.2025 per E-Mail an nowak@haerting.de möglich. Wir freuen uns auf euch! mehr …

13.08.2025
Call for Papers: Siebter PinG-Nachwuchsworkshop in Berlin

Am 09. und 10. Oktober 2025 lädt die Redaktion der PinG – Privacy in Germany junge Wissenschaftler*innen, Referendar*innen, Berufsanfänger*innen und Interessierte zum siebten Mal nach Berlin ein, um gemeinsam über aktuelle Themen des Daten(schutz)rechts zu diskutieren. Es erwartet euch ein spannendes, zweitägiges Rahmenprogramm mit genügend Möglichkeiten zum Austausch in den Räumlichkeiten der Kanzlei Härting Rechtsanwälte. Um eine vielfältige Diskussion zu ermöglichen, seid ihr gefragt: Ihr möchtet einen Vortrag vor einem jungen Fachpublikum halten? Thesen aus eurem Dissertationsprojekt zur Diskussion stellen oder eine Forschungsfrage beleuchten, um sie zu einem Aufsatz fortzuentwickeln? Ihr habt Lust, neben fachlichem Input neue Kontakte zu anderen Nachwuchswissenschaftler*innen zu knüpfen? Dann freuen wir uns auf euren Beitrag zu dem Nachwuchsworkshop. Gute Beiträge können im Anschluss an den Workshop gerne in der PinG veröffentlicht werden. Unser diesjähriger Themenschwerpunkt lautet:

Auf Daten müssen Worte folgen Der Einfluss der Rechtsprechung des EuGH auf die Entwicklung des Daten(schutz)rechts

Ob ihr eine einzelne EuGH-Entscheidung analysiert, eine Rechtsprechungslinie beleuchtet oder eure Thesen zu einem Thema mit den Thesen des EuGH kontrastiert, steht euch völlig frei. Mögliche Fragestellungen sind beispielsweise:
  • DSGVO-Konkurrentenklagen: Ebnet der EuGH den Weg für eine neue Abmahnwelle?
  • EuGH und KI: Welche Auswirkungen haben bisherige Entscheidungen des EuGH für den rechtskonformen Einsatz Künstlicher Intelligenz?
  • Drittstaatentransfer: Kippt das EU-U.S. Data Privacy Framework bereits auf politischer Ebene oder erst vor dem EuGH – und gibt es Auswege aus der Rechtsunsicherheit?
  • Immaterieller Schadensersatz: Welche Grundlinien der Rechtsprechung sind nach den zahlreichen Entscheidungen zu Art. 82 DSGVO erkennbar und wie sind diese zu bewerten?
  • Plattformökonomie: Welche Kontinuitäten und Brüche in der EuGH-Rechtsprechung sind durch das Inkrafttreten des Digital Services Act zu erwarten?
  • Datenschutz und Unionsgrundrechte: Welche Rolle spielen Art. 7, 8 GRCh in der EuGH-Rechtsprechung zu datenbezogenen Rechtsakten?
  • EuGH und EGMR: Eine Geschichte der Synergieeffekte oder ein historisches Spannungsverhältnis in Fragen des Datenschutzes?
Diese Fragestellungen sollen eine grobe Orientierung bieten, euch aber selbstverständlich nicht einschränken. Eure Themenvorschläge sind herzlich willkommen. Wenn ihr einen Vortrag halten möchtet, dann schreibt uns bitte bis zum 20.08.2025 eine E-Mail mit eurem geplanten Vortragsthema nebst kurzer Inhaltsbeschreibung an mail@haerting.de. Ihr erhaltet dann zeitnah eine Rückmeldung von der Redaktion. Eine Teilnahme ohne Vortrag ist ebenfalls möglich. Die Teilnahme an dem Workshop ist kostenfrei. mehr …

03.03.2025
Gefährdungshaftung aus Art. 32 DSGVO – OLG Schleswig verirrt sich in die DSGVO und bezeichnet Papier als „Mittel der Wahl“

Man kann die DSGVO so auslegen, dass sie Digitalisierung ermöglicht. Man kann aber auch jegliches Augenmaß verlieren und die DSGVO als Digitalisierungsbremse missverstehen. Dies zeigt eine neuere Entscheidung aus dem hohen Norden. Ein Gericht aus Schleswig hält die vordigitale Briefpost auch heute noch für das Maß aller Dinge, für das „Mittel der Wahl“.

Wir schreiben das Jahr 2025. Und viele von uns erhalten und versenden jeden Tag Rechnungen, dies nur noch sehr selten auf Papier, meist per E-Mail als PDF. Die Mails werden fast durchgängig mit Transportverschlüsselung versandt, nur ganz selten Ende-zu-Ende verschlüsselt. Das OLG Schleswig hält den Verzicht auf eine Ende-zu-Ende-Verschlüsselung jetzt für datenschutzwidrig und bezeichnet den „Versand von Rechnungen per Post“ als „Mittel der Wahl“ (OLG Schleswig vom 18.12.2024, Az. 12 U 9/24, Rn. 93).

In dem Fall, den das OLG zu entscheiden hatte, ging es um eine Handwerkerrechnung in Höhe von rund 15.000 EUR. Ein Bauunternehmen hatte die Rechnung einem Bauingenieur geschickt, der für den Bauherrn tätig war. Bei dem Ingenieur ging eine gefälschte Version der Rechnung ein mit Bankdaten eines unbekannten Dritten. Die Überweisung ging heraus an das falsche Konto, das Geld verschwand. Wie genau es zu der Fälschung gekommen war, wer auf welchem Server oder Rechner Hacking betrieben hatte, blieb in erster wie zweiter Instanz unklar. Eine Beweisaufnahme, die Anhörung von Zeugen oder gar ein Sachverständigengutachten hielt das Schleswiger OLG offenkundig für entbehrlich.

Das OLG Schleswig bejahte stattdessen einen Datenschutzverstoß des klägerischen Bauunternehmens und einen Schadenersatzanspruch des Bauherrn aus Art. 82 DSGVO. Dass es die Bankdaten der Klägerin waren, die manipuliert wurden, und keine personenbezogenen Daten des Bauherrn störte das OLG nicht. Mit schlanker Hand schloss das Gericht vom konkreten Fall auf die DSGVO und meinte, „der zu entscheidende Fall“ zeige deutlich, dass „hier keine ‚Verarbeitungssituation mit normalen Risiken‘ vorliegt“ und Art. 32 DSGVO daher eine Ende-zu-Ende-Verschlüsselung jedweder Rechnungsmails verlange (a.a.O., Rn. 91).

An der Entscheidung aus Schleswig ist so ziemlich alles verkehrt. Art. 32 DSGVO schreibt die „Sicherheit der Verarbeitung“ und keinen idealen Schutz, sondern ein „angemessenes Schutzniveau“ vor. Die Vorschrift will digitale Kommunikation nicht übermäßig erschweren oder verhindern. Sie verlangt somit genau das Augenmaß, das die norddeutschen Richter vermissen lassen. Und welches “Schutzniveau“ angemessen ist, hängt natürlich ab von den Personendaten, um deren Schutz es der DSGVO geht. Da ist es schlechterdings nicht nachvollziehbar, warum die eigenen Kontodaten des Rechnungsstellers so schützenswert sein sollen, dass er sie gegen seinen eigenen Willen nur Ende-zu-Ende verschlüsselt versenden darf, wie das OLG Schleswig meint. Art. 32 DSGVO ist gewiss nicht als Allheilnorm gedacht, die einen Rechnungsempfängern vor kriminellen Hackern beschützen soll.

Das OLG Schleswig hat die Revision zugelassen. Es bleibt zu hoffen, dass die Klägerin Revision einlegt und der BGH dem OLG die rote Karte zeigt.

mehr …

Weitere Meldungen

Inhalt der aktuellen Ausgabe 06/2025

Lizenz: ESV-Lizenz
ISSN: 2196-9817
Ausgabe / Jahr: 6 / 2025
Veröffentlicht: 2025-10-28

Editorial

Inhalt

Beiträge

An Introduction to Indigenous Data Privacy and Sovereignty

For the world’s estimated 476 million Indigenous Peoples, meaningful data privacy and sovereignty has become a critical issue. As it stands, current data governance systems fail to account for the unique cultural perspectives, values, and collective rights of Indigenous nations. In the digital age, as information is collected and commodified at the speed of light, it is imperative to consider an alternative and complementary approach.

Aus Sicht der Stiftung Datenschutz: Datenschutz in der juristischen Ausbildung

Am 6. Juni 2025 diskutierte die Justizminister:innenkonferenz Reformvorschläge für die zweistufige juristische Ausbildung aus Studium und Referendariat. Die letzte inhaltlich umfangreiche Reform der juristischen Ausbildung in Deutschland trat 2003 in Kraft – im gleichen Jahr wie die Agenda 2010 und die Pflicht zum Dosenpfand. 2025 hat sich nicht nur die gesellschaftspolitische Lage verändert, sondern auch die datenschutzrechtliche.

PinG – Stichwort: TEAM: toll, ein anderer macht’s – nicht im Datenschutz!

Jeder, der im Datenschutz arbeitet – ob extern oder intern – kennt es: es steht eine datenschutzrechtliche Aufgabe an (etwa die Erhebung von Verarbeitungstätigkeiten für das VVT) und man benötigt hierfür die Unterstützung einer Kollegin oder eines Kollegen aus dem jeweiligen Fachbereich. Doch die Begeisterung für datenschutzrechtliche Themen hält sich bei dieser fachfremden Person in Grenzen. Das ist ja auch völlig normal: nicht jeder setzt sich voller Elan für 90 Minuten in einen Teams-Call und beantwortet bei geteilter Excel-Tabelle im Interview eifrig die Fragen des Datenschutzbeauftragten zu den Details einer Verarbeitungstätigkeit – Rechtsgrundlagen, Speicherdauer, TOMs etc. Schließlich haben diese Leute auch noch ihre „eigene Arbeit“ zu erledigen.

Eilverfahren gegen KI-Training

Meta startete am 27.05.2025 mit dem Training ihrer KI-Modelle „Llama“. Dafür werden von Metas Social-Media-Plattformen Facebook und Instagram die veröffentlichten personenbezogenen Daten volljähriger Nutzer verwendet. Hiergegen gerichtete Anträge auf Unterlassung scheiterten im einstweiligen Rechtsschutz vor den angerufenen Oberlandesgerichten. Problematisch ist dabei, dass seit Mai 2025 personenbezogene Daten verarbeitet werden. Aufgrund der eingeschränkten Möglichkeit zur Löschung von Daten aus einem KI-Modell wurde ein nahezu unheilbarer Zustand geschaffen.

Rechtssicherheit in der Krise: Kommunikation und Vertragsmanagement als Schlüssel bei Cybervorfällen

Cybervorfälle stellen Unternehmen heute vor weit mehr als nur technische Herausforderungen. Sie sind vielmehr komplexe juristische Stresstests, in denen sich zeigt, ob ein Unternehmen in der Lage ist, seine Handlungsfähigkeit und Reputation zu bewahren. Die Bewältigung solcher Krisen (Incident Response) erfordert eine disziplinierte, strategisch ausgerichtete Kommunikation, robuste vertragliche Vorkehrungen und eine lückenlose Dokumentation aller Entscheidungsprozesse.

Zwischen Kreuz und Compliance

Art. 91 DS-GVO gestattet Kirchen und religiösen Gemeinschaften unter bestimmten Umständen die Anwendung eigener Datenschutzregelungen – ein Privileg, das bei ökumenischen Zusammenschlüssen kirchlicher Träger zu komplexen Zuständigkeitsfragen führt. Der Beitrag beleuchtet die datenschutzrechtlichen Herausforderungen bei gemeinsamen Einrichtungen von katholischen und evangelischen Trägern und zeigt, wie Mehrheitsverhältnisse, kirchliche Werteordnungen und tarifliche Bindungen die Anwendung des jeweiligen Datenschutzrechts beeinflussen.

Denn sie sollten wissen, was sie tun!

Künstliche Intelligenz hat ein Stadium erreicht, in dem sie nicht nur assistiert, sondern auch Aufgaben abnehmen und eigenständig durchführen kann. Von der Terminbuchungssoftware bis hin zum elektronischen Sales-
Agent, der am Telefon Verträge abschließt, oder der intelligenten Kamera zur Ermittlung von Falschparkern – automatisierte Systeme sind mittlerweile relativ zuverlässig in der Lage, Entscheidungen mit Auswirkungen auf einzelne Menschen zu treffen.

Cyber Resilience Act und DSGVO – Gute Nachbarn? Schlechte Nachbarn?

„Die DSGVO bleibt unberührt“ – eine hoffnungsvolle Behauptung, die schon bei KI-VO & Co. schnell verpufft ist. Nun kommt der Cyber Resilience Act (CRA) und es fragt sich: Wie wird das Zusammenspiel hier laufen? Der Aufsatz gibt einen Überblick über den gemeinsamen Anwendungsbereich der Gesetze und die praktische Auswirkung von Überschneidungen anhand konkreter Anwendungskonstellationen.

So viel Bewegung war selten

Gerade eben noch schien die Datenschutzwelt fest zementiert zu sein: Die europäische DS-GVO als Fixstern des Datenschutzes, unerreicht doch unverrückbar; nationales Datenschutzrecht, das sich in seine Rolle als Lückenfüller hineingefunden hatte und selbst übrig gelassene Regelungsräume wie den Beschäftigtendatenschutz nicht mehr „spezifischer“ (Art. 88 DS-GVO) auszufüllen vermochte; betriebliche Datenschutzbeauftragte, die sich mit ihrer Beraterrolle immer weiter anfreundeten.

Schlaglicht

Schlaglicht 1: EuGH, Urt. v. 04.09.2025 – Az.: C-655/23 – EuGH öffnet die Tür für „Gefühls-Schadensersatz“, nicht aber für unionsrechtliche Unterlassung

Der EuGH hat mit Urteil vom 4. September 2025 (C-655/23) zwei Fragen des Datenschutzrechts geklärt, die in der Praxis seit Langem diskutiert wurden. Zum einen stellte der EuGH klar, dass die DSGVO selbst keinen präventiven, unionsrechtlich verankerten Anspruch auf Unterlassung vorsieht, also kein unionsrechtliches Instrument bereithält, um den Verantwortlichen präventiv auf künftige Rechtstreue festzulegen.

Schlaglicht 2: UK – „No Backdoor, Please“ – Großbritannien setzt Forderung durch, Deutschland diskutiert weiter

Das Vereinigte Königreich erzwingt aktuell eine Einschränkung der Ende-zu-Ende-Verschlüsselung von iCloud-Backups durch Apple. Apple hat am 23.09.2025 bestätigt, dass „Advanced Data Protection“ (ADP) in UK für neue Nutzer nicht mehr angeboten wird und bestehende Nutzer es in den kommenden Wochen selbst deaktivieren müssen, wenn sie iCloud weiter nutzen wollen.

Schlaglicht 3: EU – Data Act seit 12.09.2025 anwendbar – Datenzugang vs. Datenschutz & ePrivacy

Mit seinem Anwendungsbeginn am 12. September 2025 markiert der Data Act (VO (EU) 2023/2854) einen regulatorischen Wendepunkt: Im Zentrum der jüngsten Phase der digitalen Agenda der EU liegt nicht mehr primär der Schutz personenbezogener Daten, sondern die geregelte Zugänglichkeit und Nutzbarmachung von Nutzungsdaten aus vernetzten Produkten und dazugehörigen Diensten.

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Datenschutzdigital        Erich Schmidt Verlag        ConsultingBay