Das Urteil des Bundesverwaltungsgerichts vom 06.03.2026 (6 C 7.24) verdient besondere Beachtung, weil es eine in der Praxis häufig verkürzt behandelte Grundfrage der DSGVO erneut in den Mittelpunkt rückt: Unter welchen Voraussetzungen dürfen Gesundheitsdaten verarbeitet werden, wenn die betroffene Person nicht ausdrücklich eingewilligt hat? Der Fall betraf eine private Krankenversicherung, die Diagnosen aus zur [...]
Das Hinweisgeberschutzgesetz ist für Unternehmen längst mehr als ein Compliance-Thema. Es wirkt unmittelbar in das Arbeitsrecht hinein, besonders dann, wenn nach einer internen Meldung eine Kündigung ausgesprochen wird. Genau an dieser Schnittstelle hat das Bundesarbeitsgericht mit Urteil vom 4. Dezember 2025 (2 AZR 51/25) eine wichtige Klarstellung getroffen. Der Fall betrifft eine Wartezeitkündigung, eine [...]
Datenschutz ist für Unternehmen längst kein Randthema mehr. Wer personenbezogene Daten verarbeitet, bewegt sich nicht nur in einem durchregulierten Rechtsrahmen, sondern in einem Haftungs- und Sanktionsumfeld, das organisatorische Schwächen schonungslos offenlegt. Die neuere Rechtsprechung des Europäischen Gerichtshofs hat diese Entwicklung nicht erst eingeleitet, wohl aber deutlich zugespitzt. Sie macht unmissverständlich klar, dass Verantwortliche die [...]
Die finale VdS 10100 ist da. Damit liegt erstmals ein eigenständiges, praxisnah aufgebautes Regelwerk vor, das Unternehmen eine konkrete Struktur für Informationssicherheit zur Umsetzung der Vorgaben der NIS-2-Richtlinie an die Hand gibt. Die Richtlinie der VdS Schadenverhütung GmbH (VdS) trägt den Titel „Strukturierte Informationssicherheit gemäß NIS-2“, ist als VdS 10100 : 2026-04 (01) veröffentlicht [...]
Die Reisebranche lebt von Bildern. Sehnsuchtsorte, Pooldecks, Hotelterrassen, Strandbars, Rooftops und Stadtszenen verkaufen nicht nur Reisen, sie verkaufen ein Lebensgefühl. Genau darin liegt aber auch ein rechtliches Risiko. Ein aktueller Beschluss des Verwaltungsgerichts Düsseldorf vom 5. März 2026 zeigt, dass touristisches Social-Media-Marketing schnell mit der DSGVO kollidieren kann, wenn in Werbevideos unbeteiligte Personen erkennbar [...]
Am 19. März 2026 hat der Europäische Gerichtshof in der Rechtssache C-526/24 - Brillen Rottler eine Entscheidung gefällt, die für Unternehmen, Datenschutzbeauftragte und Prozessvertreter gleichermaßen wichtig ist. Im Kern geht es um eine Frage, die in der Praxis seit einiger Zeit an Bedeutung gewonnen hat: Darf sich ein Unternehmen gegen einen Auskunftsantrag nach Art. [...]
Die Diskussion über den wirtschaftlichen Nutzen eines Datenschutzbeauftragten (DSB) folgt häufig einem vertrauten Muster: Unternehmen sehen die Benennung eines DSB zunächst als gesetzliche Verpflichtung und damit als Kostenfaktor. Doch aktuelle Analysen, insbesondere die jüngst veröffentlichten Ergebnisse der CNIL und der AFPA-Befragung 2024, zeichnen ein deutlich anderes Bild. Sie zeigen, dass der DSB weit mehr [...]
Mit der Verkündung des NIS-2-Umsetzungsgesetzes im Bundesgesetzblatt am 05. Dezember 2025 und seinem Inkrafttreten am 06. Dezember 2025 beginnt eine neue Phase der Cybersicherheitsregulierung in Deutschland. Die neuen Vorgaben gelten ohne Übergangsfristen und betreffen nicht mehr nur klassische Betreiber Kritischer Infrastrukturen. Sie treffen nun große Teile der mittelständischen Wirtschaft und zahlreiche Unternehmen, die bislang [...]
Unternehmen, die für ihre Direktwerbung Adresshändler im Lettershop-Verfahren einsetzen, sitzen datenschutzrechtlich oft in der Zwickmühle. Auf der einen Seite lockt effizientes Marketing mit fein zugeschnittenen Zielgruppen, auf der anderen Seite drohen Beanstandungen der Aufsichtsbehörden wegen angeblicher Verstöße gegen die DSGVO. Besonders brisant ist dabei die Frage, ob das werbende Unternehmen gemeinsam mit der Adresshändlerin [...]
Die Frage, ob Daten personenbezogen sind, ist für Unternehmen mehr als eine theoretische Überlegung. Sie entscheidet darüber, ob die Datenschutz-Grundverordnung (DSGVO) Anwendung findet und welche Pflichten einzuhalten sind. Lange Zeit herrschte in der Praxis Unsicherheit, wie pseudonymisierte Daten rechtlich einzuordnen sind. Mit Urteil vom 4. September 2025 (C-413/23 P - EDSB/SRB) hat der Europäische [...]