Beiträge

Hier finden Datenschutz-PRO-Mitglieder die Aufzeichnung der Office Hours für Beginner vom 02.12.2025. Wir haben uns u.a. mit diesen Themen beschäftigt:

• Nutzung von KI im Unternehmen mit personenbezogenen Daten
• Double Opt-In Abfrage in WordPress
• Rechtsgrundlagen nach § 25 TDDDG im Verhältnis zur DSGVO
• Rahmen AV und Konkretisierung in der Auftragsbestätigung
• Auftragsverarbeitung bei Anzeigenschaltung
• Auftragsverarbeitung bei Wartung von Röntgengeräten
• Berufshaftpflicht für internen Datenschutzbeauftragten
• Datenschutzrechtliche Aspekte von WhatsApp Business
• Veröffentlichung von Geburtstagen im Firmenjournal
• Nutzung von Trustpilot und Double Opt-In
• Technisch notwendige Cookies im Consent Manager
• Datenverarbeitung bei Bewirtungen
• Nutzung der Fundraisingbox und berechtigtes Interesse
• Anbieter Logicc und Eingabe personenbezogener Daten
• Unterschiede zwischen Cookies und Einbettungen im Consent Manager
• Auftragsverarbeitungsvertrag mit ChatGPT
• Sicherheitsgründe für Atlassian Produkte on premise
• Abmahnungen von Werbemails reduzieren
• Vorausfüllen von Kontaktdaten in Kontakt-Formular
• Fernmeldegeheimnis und private E-Mail- und Internetnutzung am Arbeitsplatz
• Testsysteme und personenbezogene Daten
• Local Storage im Consent Manager
• Datenschutzhinweise bei Einbindung von Dritten
• Bereitstellung von Fotos der Weihnachtsfeier
• Cookies und spezifische Tools in Datenschutzhinweisen
• Haftung als stellvertretender Datenschutzbeauftragter
• Rücksendung von USB-Stick mit personenbezogenen Daten
• Einwilligung für Fotos in Willkommensmail
• Desksharing und Auftragsverarbeitung
• Schutz von Mitarbeiterdaten in Google-Bewertungen
• Zero Retention Policy bei KI-Modellanbietern
• Nutzung von Ollama und Auftragsverarbeitung
• Nutzung von KI-Systemen im Unternehmen
• Privatnutzung von E-Mail-Accounts
• Bereitstellung von Datenschutzhinweisen für neue Mitarbeiter
• Echte Kundendaten auf Testsystemen
• Datenverarbeitung bei Rücksetzung von Laptops
• Google “Erweiterte Conversions” und Datenschutz
• Datenschutzhinweise im Mitarbeiter-Portal

Am 26.11 haben die Office Hours für Profis stattgefunden. Datenschutz-PRO-Mitglieder finden die Aufzeichnung hier.

Hier ist eine Übersicht der Themen, mit denen wir uns unter anderem beschäftigt haben:

1. Cloud-Dienste und US-Tools

Google Workspace für Vereine, Microsoft 365-Migration, Google Analytics vs. Matomo, Google Tag Manager, Zoom – Fragen zu Drittlandübermittlung, AVV-Abschluss, EU-Hosting bei US-Anbietern und Cloud Act-Problematik

2. Auftragsverarbeitung und Verantwortlichkeiten

Abgrenzung Auftragsverarbeiter vs. gemeinsame Verantwortliche (insb. bei Google-Diensten), Subunternehmer nach Art. 28 vs. Art. 29, AVV-Gestaltung, Rolle des DSB bei Vertragsanpassungen

3. Betroffenenrechte (Auskunft, Löschung, Widerruf)

Umfang der Auskunftspflicht bei Bewerbern und Mitarbeitern (interne Notizen, Protokolle, Log-Daten), Löschfristen vs. Aufbewahrungspflichten, rechtsmissbräuchliche Anfragen, Widerruf von Einwilligungen

4. Mitarbeiterdatenschutz und Arbeitgeber-Befugnisse

Zugriff auf E-Mails und Dateien bei privater Nutzung, Überwachung von Browser und Internet, GPS-Tracking von Außendienstmitarbeitern, 2FA-Apps auf Privatgeräten, Kontaktdatenaufbewahrung

5. Marketing, Newsletter und Einwilligungen

Double Opt-In-Verfahren, Abmeldemöglichkeiten, Transaktionslogs, WhatsApp Business vs. API, Gewinnspiele, Kaltakquise in den USA, Visitenkarten-Verarbeitung

6. Datenschutz-Folgenabschätzung (DSFA)

DSFA-Pflicht bei Kundensegmentierung, Bilddatenbanken mit Gesichtserkennung, Videoaufnahmen therapeutischer Gespräche mit Minderjährigen, GPS-Tracking

7. Besondere Kategorien personenbezogener Daten (Art. 9)

Gesundheitsdaten in Vereinen und Gastronomie/Hotellerie, Gesichtserkennung in Bilddatenbanken, therapeutische Videoaufnahmen, Rechtsgrundlagen nach Art. 9 Abs. 2

8. Datenweitergabe und Geschäftsübergänge

Kundendatenübertragung bei Geschäftsaufgabe (E-Mobility), Provisionsstatistiken mit Personenbezug, Datenübermittlung an US-Tochtergesellschaft, Paygate-Systeme und Kreditkartenabwicklung

Am 04.11.2025 haben die Office Hours für Beginner stattgefunden. Und hier ist eine Übersicht der Themen, die besprochen wurden:

1. Drohnen und Datenschutz

Die Nutzung von Drohnen zur Überprüfung von Leitungen wird hinsichtlich des Datenschutzes betrachtet. Unklar ist, wie mit Überflügen in Wohngebieten und der Information der Haushalte umgegangen werden sollte.

2. Datenschutz in der Hotellerie

Schulungsinhalte für die Hotellerie zu CRM-Systemen und zur Speicherung persönlicher Daten (z. B. Passkopien gemäß Bundesmeldegesetz) sollen vertieft sowie praxisnahe Beispiele angeboten werden.

3. Datenschutz bei B2B-Telefonberatung

Fragen zur Beachtung von Datenminimierung, Speicherung personenbezogener Daten (pbD) und zur korrekten Handhabung von Informationen, die Beratende während Gesprächen preisgeben.

4. Bewerber-Datenschutz

Praxisfragen zu Datenschutzhinweisen für Bewerber und wie diese rechtzeitig vor Datenverarbeitung bereitgestellt werden sollten.

5. Widerruf von Einwilligungen zu Foto- und Videomaterial

Klärung, ob bei einem Widerruf der Einwilligung auch bereits veröffentlichtes Videomaterial angepasst werden muss.

6. Externer DSB: Schulungen und Pflichten

Ob ein externer Datenschutzbeauftragter Schulungen (z. B. via E-Learning) anbieten und im Vertrag darauf hinweisen darf. Weiterhin: Informationen, die zur Nennung von DSBs auf Webseiten erforderlich sind.

7. Datenübertragungen im medizinischen Umfeld

Technische und datenschutzrechtliche Bewertung von Übertragungen sensibler Patientendaten über URLs.

8. Website-Hosting und Datenschutzerklärung

Fraglich ist, ob der direkte Hoster oder dessen Subunternehmer in der Datenschutzerklärung erwähnt werden muss.

9. KI-Plattformen ohne Auftragsverarbeitungsvertrag

Ist ein AV-Vertrag notwendig, wenn ein Anbieter von KI-Plattformen Daten verschlüsselt und eigenen Zugriff ausschließt, diese aber durch Dritte verarbeitet werden?

10. Consent Manager und Transparenz

Ob invasive Tools wie Google Analytics in einem Consent Manager auf der ersten Ebene genannt werden sollten, um eine informierte Einwilligung zu gewährleisten.

11. Einsatz von Glean AI

Bewertung neuer Technologien wie Glean AI hinsichtlich möglicher Zweckänderungen in der Datenverarbeitung, ihrer Nutzung als Pflichtsoftware und rechtlicher Konsequenzen bei Agenten-Erstellung.

12. Datenschutz und ChatGPT

Rechtliche Fragen zur Verwendung von ChatGPT für AV-Verträge, inkl. Abschluss eines AV-Vertrags und Hochladen sensibler Informationen zur Analyse.

13. Beratungsakten bei B2B-Dienstleistungen

Rechtsgrundlage zur Führung von Beratungsakten und Klärung der Verantwortlichkeit bei teilnehmenden Honorarkräften in B2B-Beratungsprojekten.

14. Kameraüberwachung in gefährdeten Arbeitsbereichen

Abwägung der Verhältnismäßigkeit von Videoüberwachung in sicherheitskritischen Bereichen (z. B. wegen Brandrisiko) und mögliche Alternativen wie Kameraattrappen.

15. Datenschutz bei der Einbindung von Maklern

Fraglich ist, ob bei der Einbindung von Maklern bei betrieblicher Altersvorsorge Einwilligungen nötig sind oder andere Rechtsgrundlagen denkbar wären.

16. Identitätsprüfung bei Auskunftsersuchen

Empfehlungen zum Umgang mit unklaren Identitäten bei Auskunftsanfragen, insbesondere bei abweichenden Personalien.

17. GPS-Tracking von LKW im Konzern

Bewertung der Zulässigkeit von konzernweiten Zugriffsrechten auf Standortdaten von LKW-Fahrern.

18. Datenübertragung vor Umfirmierung

Fraglich ist, ob Beschäftigtendaten vorab aus berechtigtem Interesse bereitgestellt werden können, um beim Übergang auf ein Käuferunternehmen genutzt zu werden.

19. KI in der Arztpraxis

Bewertung der Datenschutzanforderungen eines KI-Dokumentationsassistenten, der Arztgespräche transkribiert und analysiert. Berücksichtigte Aspekte: Einwilligung, DSFA, Informationen und rechtliche Grundlagen.

20. Videoüberwachung: Hinweisschilder und Betroffenenrechte

Klärung, ob bei Videoüberwachungs-Hinweisblättern die Betroffenenrechte im Detail aufgeführt sein müssen oder ein Verweis darauf genügt.

21. AVV bei Domain-Registratoren

Frage nach der Notwendigkeit eines Auftragsverarbeitungsvertrags mit einem Domain-Registrator.

22. Einschränkungen für KI-Nutzung durch Mitarbeitende

Darf ein Arbeitgeber Mitarbeitende daran hindern, KI-Tools wie ChatGPT auf Firmenlaptops selbst für rein private Zwecke zu nutzen?

23. Datenschutzaudits: Zuständigkeiten

Wer darf Datenschutzaudits anordnen, durchführen und welche Zuständigkeiten hat ein DSB dabei?

24. Drohnenflüge und Speicherung von Aufnahmen

Praktische Fragen zu Drohnenüberflügen, insbesondere zur Speicherung von Aufnahmen und möglichen datenschutzkonformen Maßnahmen wie der Unkenntlichmachung von Personen.

25. Zurückgezogene DIN 66399

Diskrepanz zwischen Angaben zur Rücknahme der DIN-Norm und der aktuellen Praxis bei Datenschutzbehörden.

26. DSB-Vertretung bei Abwesenheit

Praktische Aspekte der Urlaubsvertretung für DSBs, z. B. bezüglich des Zugriffs auf das datenschutzbezogene Postfach und die Wahrung der Vertraulichkeit.

27. AVV und Softwareanbieter

Eignung eines Auftragsverarbeitungsvertrags für Software, die personenbezogene Daten verarbeiten könnte, und die Anforderungen an den Anbieter.

28. DSB-Beratung: Zulässigkeit

Abgrenzung zwischen rechtsberatender Tätigkeit und datenschutzrechtlicher Beratung durch Datenschutzbeauftragte.

29. Verifizierung von Kunden durch Drittanbieter

Rechtsfragen zur Verantwortlichkeit bei der Zusammenarbeit mit externen Verifizierungsdienstleistern.

30. Aufbewahrung von Auskunftskopien

Diskussion über die rechtliche Zulässigkeit der Speicherung vollständiger Auskunftskopien und alternativer Methoden wie pseudonymisierte Protokollierung.

31. SCHUFA-Auskunft für Berater

Ist die Anfrage nach einer SCHUFA-Auskunft für Berater durch Banken im Rahmen eines Kundenprojekts datenschutzrechtlich zulässig?

32. Versäumnis von DSFA nach DSGVO

Wie sollte ein neuer DSB vorgehen, wenn festgestellt wird, dass datenschutzrechtlich erforderliche DSFAs nicht durchgeführt wurden?

33. Elektronische Patientenakten und Datenschutzhinweise

Warum sollen Verantwortliche Informationen zur elektronischen Patientenakte in ihre Datenschutzhinweise aufnehmen, obwohl sie dafür nicht direkt zuständig sind?

34. Schulungsvideos: Umgang mit Audioaufzeichnungen

Klärung, ob Audioaufnahmen für Schulungsvideos unter die Regelungen für Gesundheitsdaten (Art. 9 DSGVO) fallen.

35. KI-Tools mit Mitarbeiter-Login: Datenverantwortung und Rechte

Rechtsgrundlage und datenschutzrechtliche Verantwortlichkeiten bei der Verwendung personalisierter KI-Tools durch Mitarbeitende.

36. Automatisierung bei Auskunftsanfragen

Einsatz von Tools zur datenschutzkonformen Anonymisierung und Bereitstellung großer Datenmengen im Rahmen von Art.-15-DSGVO-Anfragen.

37. Erfüllung von Mitarbeiterauskünften

Klärung, wie weit Unternehmen bei jährlichen Mitarbeiterauskünften zu Vergütungen und Datenkategorien gehen müssen.

38. Patientendaten: Einwilligung vs. gesetzliche Grundlagen

Wann reicht ein Patientenvertrag als datenschutzrechtliche Grundlage für die Verarbeitung von Daten anstelle einer Einwilligung?

39. DSB-Vertretung und Zugriff auf vertrauliche DSB-Pflichten

Müssen Unternehmen für Urlaubsvertretung des Datenschutzbeauftragten besondere Regelungen treffen?

40. Datenschutz und Website-Migration

Datenschutzmaßnahmen, die bei der Überführung eines Onlineshops auf eine neue Plattform beachtet werden müssen.

41. Umgang mit fehlenden AV-Verträgen

Wie sollte ein Datenschutzvorfall aufgrund unterlassener AVV-Abschlüsse gehandhabt und nachträglich gelöst werden?

42. Webseiten-Barrierefreiheit-Tools

Einsatz von Tools wie Eye-Able zur Ermöglichung von Barrierefreiheit und deren datenschutzrechtliche sowie gestalterische Aspekte.

43. Microsoft CoPilot: Berechtigtes Interesse

Kann die Transkriptionsfunktion bei Microsoft CoPilot mit „berechtigtem Interesse“ als Rechtsgrundlage verwendet werden?

44. Nennung von Servern und Subauftragsverarbeitern

Klarstellung zur Nennung von direkten und indirekten Hosting-Anbietern auf Webseiten.

45. Quellen und Beispiele zu Profiling gemäß DSGVO

Wo finden sich verständliche Informationen und Beispiele zu Profiling nach Artikel 22 der DSGVO?

46. Juristische Beratung: Grenzen der Zuständigkeit

Wer darf rechtliche Beratung nach deutschem Recht durchführen, insbesondere bei ausländischen Unternehmensjuristen?

47. Zusatzfragen zu Glean AI

Nachtrag zur Frage der Nutzung sensibler Daten (Mitarbeitendaten) und ungeregelter Privatnutzung bei Unternehmenssystemen.

48. DS-Pflichten bei anonymen Befragungen

Notwendige Informationen und rechtliche Verantwortlichkeiten bei der Durchführung anonymer Befragungen organisiert durch externe Agenturen.

49. Identitätsprüfung bei Auskunftsersuchen

Wie soll mit Informationsanfragen umgegangen werden, bei denen möglicherweise eine Stellvertretung oder Identitätstäuschung vorliegt?

50. Tracking für Dienstleister: Zulässigkeit

Einsatz von Trackern an Schlüsselbünden von Vertragsdienstleistern, mit Blick auf datenschutzrechtliche Implikationen.

51. Angabe zur Schwerbehinderung im Bewerbungsformular

Datenschutz- und arbeitsrechtliche Bewertung einer freiwilligen Frage zur Schwerbehinderung in Bewerbungsunterlagen.

52. Verträge bei Datenschutzvorfällen vorlegen?

Richtige Handhabe beim Umgang mit Datenschutzbehörden, insbesondere ob bestimmte Verträge proaktiv oder nach Aufforderung bereitgestellt werden sollten.

53. Verschwiegenheit bei DSB im Vertretungsfall

Wie kann die Verschwiegenheitspflicht gewährleistet werden, wenn ein Datenschutzbeauftragter (DSB) im Urlaub vertreten wird?

Am 29.10.2025 haben die Office Hours für Profis stattgefunden.

Hier findest du eine Übersicht der Themen:

Anonymisierung & Drittlandübermittlung

Anonymisierung chinesischer Mutterkonzern: Anonymisierung als DSGVO-Datenverarbeitung – Rechtsgrundlage erforderlich, Informationspflichten zu beachten. Transfer anonymisierter Finanzdaten nach China rechtlich kritisch, mildere Mittel verfügbar.

Technische & Organisatorische Maßnahmen (TOMs)

TOM-Prüfung bei AVV: Bedarf an Best Practices und Vorlagen für TOM-Bewertung, Rolle des Informationssicherheitsbeauftragten, technisches Know-how-Defizit.

Überzogene TOM-Anforderungen: DSB stellt exzessive Detailfragen zu Datenträgervernichtung, Remote-Work-Richtlinien trotz fehlender Art. 9-Daten. Stichwort-TOMs werden als unzureichend kritisiert.

Auftragsverarbeitung (AVV)

Rahmen-AVV für Web-Agentur: Übergang von individuellen zu Rahmen-AVV mit Spezifizierungen, Handhabung bei Neu- und Altkunden.

Cloud-Passwort-Manager: AVV-Konstellation bei IT-Dienstleister als Vermittler mit eigenem Zugriff auf Kundenverwaltung.

Ticketsystem als Unterauftrag: Nennung externer Ticketsystems als Unterauftragsverarbeiter im Kunden-AVV erforderlich oder nur internes Tool.

Microsoft/Google als Unterauftragnehmer: Ablehnungsgründe für US-Cloud-Anbieter als Unterauftragsverarbeiter, Begründung gegenüber Auftragsverarbeitern.

AVV-Übertragung bei Umstrukturierung: Übergang von Auftragsverarbeitungsverträgen bei Teilbetriebsübergang von Alpha zu Beta-Gesellschaft.

Freelancer als Unterauftragsverarbeiter: Rechtliche Einordnung und AVV-Nennung von Freelancern, Art. 29 DSGVO-Bewertung.

Datenfreigabe & Sharing

Connect-Plattform Maschinendaten: Freiwillige Datenfreigabe zwischen Nutzern, Einwilligungserfordernis für sendenden Nutzer.

Kanzlei-Netzwerk: Gemeinsamer Datenzugriff verschiedener Gesellschaften durch Einwilligung und Zugriffsrechte.

Büro-Sharing verschiedener Unternehmen: DSFA-Erfordernis bei geteilter Infrastruktur, technische und organisatorische Schutzmaßnahmen.

SaaS & Cloud-Services

SaaS-Pakete für Privatpersonen: Free-Package-Nutzung durch Privatpersonen, AVV/AGB-Problematik, Stellvertretungsrecht-Garantien.

AI Assistant mit Kundendaten: Datenauswertung für Empfehlungen, Anonymisierung, Art. 6 lit. f) DSGVO -Argumentation.

Art. 9-Daten in Freitextfeldern: TOM-Anforderungen für theoretisch mögliche besondere Kategorien trotz fehlender Verwendung.

Lead-Generierung & Marketing

B2B-Lead-Generierung: AVV-Verhältnis, Art. 6 lit. f als Rechtsgrundlage, UWG-konforme Ansprache.

Werbeanzeigenschaltung: Lead-Einsicht als Auftragsverarbeitung.

Akquise-Veranstaltungen: Datenschutzaspekte bei Mandantengewinnung.

Auskunfts- & Informationspflichten

Art. 15-Anfrage ehemalige Mitarbeiterin: Auskunftspflicht über externe Accounts mit Firmen-E-Mail.

Datenschutzhinweise Bewerbermanagement: Einheitliche Formulierung für Mutter- und Tochtergesellschaften.

WhatsApp-Kanal: Personenbezug durch Admin-Einsicht, Informationspflichten.

Spezielle Anwendungsfälle

Fernunterrichtsschutzgesetz: DS-Schulungen via Learndash, BGH-Urteil-Relevanz.

Zeiterfassungs-App BYOD: Private Smartphones, Einwilligung vs. BYOD-Vereinbarung.

Versicherungsmakler-Datenweitergabe: Übermittlung an GKV-Spezialist, Einwilligungserfordernis.

Personalsuche-Beratung: Datenverantwortlichkeit bei Bewerbungsverarbeitung durch Beratungsunternehmen.

Analytics consent-less: TTDSG-konforme Einbindung, Local Storage-Problematik.

Compliance & Kontrolle

Auftragskontrolle: Zweijährige vs. jährliche Prüfung, Vodafone-Bußgeld-Bezug.

DSMS-Tool: Empfehlung für 20+ Mandanten-Management.

Meldepflichtige Vorfälle: DSB vs. externer Anwalt-Zuständigkeit.

§ 25 BDSG: Anwendung auf EU/EWR-Übermittlungen vs. nur deutsche Stellen.

Hier finden Datenschutz-PRO-Mitglieder eine Aufzeichnung der Office Hours für Beginner vom 07.10.2025.

Hier eine Zusammenstellung der Themen:

Technologie & Digitalisierung

• BYOD-Problematik: Outlook-Kontakte und iCloud/Google-Synchronisation
• Digitalisierung des Offboarding-Prozesses (E-Mail vs. postalische Zustellung)
• KI-Tools in Verarbeitungsverzeichnissen und DSFA-Pflicht
• Microsoft Copilot Muster und KI-Richtlinien
• Telefon-KI: Aufzeichnung, Löschung und DSFA-Anforderungen
• KI für Berufsgeheimnisträger
• Übersetzungstools (Deepl Voice) und biometrische Daten
• KI-generierter Code: Eigentum und Haftung
• NDAs und KI-Tool-Nutzung

Auftragsverarbeitung & Verantwortlichkeiten

• Marktforschungsinstitut: gemeinsame Verantwortung vs. Auftragsverarbeitung
• Sprachschule als Auftragsverarbeiter im Learning-System
• Forschungsinstitut und externes Umfrageinstitut
• IT-Support und Datenschutzverletzung-Meldungen
• Payroll Provider mit länderübergreifenden Zugriffsmöglichkeiten
• Bürogemeinschaft: AVV vs. gemeinsame Verantwortung
• Auftragsverarbeiter: eigenständige Löschpflichten
• AVV mit US-Support-Regelungen

Pseudonymisierung & Anonymisierung

• KI-Einsatz mit Pseudonymisierungsdienstleister
• Testsystem mit pseudonymisierten Echtdaten
• EuGH-Urteil zur Pseudonymisierung und US-Tools
• Heilpraktiker: pseudonymisierte Gesundheitsdaten an US-Tools

Medizin & Gesundheitswesen

• Krankenakte: Aufbewahrungsfristen nach § 630f BGB
• Patientenakte als Art. 15 DSGVO-Auskunft
• Elektronische Patientenakte: Datenschutzhinweise und Pflegeeinrichtungen
• Agentur für Arztwebseite: Log-Daten als potenzielle Gesundheitsdaten
• Ende der Behandlung bei wiederholten Besuchen

Arbeitsrecht & HR

• Mitarbeiterbeteiligungen: Rechtsgrundlagen für Angebote und Erinnerungen
• Private IT-Nutzung bei Beschäftigungsende
• Gehaltsdaten-Weitergabe durch Abteilungsleiter
• Gruppenfotos auf Firmenwebseite
• Personalausweiskopien bei Wohnungsgenossenschaften

Videoüberwachung

• Hinweisschilder: berechtigte Interessen detailliert vs. allgemein
• Speicherdauer: 48/72 Stunden vs. 14 Tage
• Betriebsrat-/Personalrat-Mitbestimmung
• Tonaufzeichnungen bei Videoüberwachung

Internationale Aspekte

• Indien als unsicheres Drittland: Permanent Establishment
• Türkei KVKK: Verbis-Registrierungspflicht
• Art. 6 Abs. 1 lit. f DSGVO: BGH vs. andere EU-Mitgliedstaaten

Organisatorisches & Prozesse

• DSB-Meetings: Organisation mit erweiterten Teilnehmerkreis
• DSMS-Umsetzung in KMU
• ISO 27001 Rechtskataster
• LMS-Betrieb und BGH-Urteil-Risiko

Webseiten & Online-Auftritte

• Datenschutz/Impressum: Ein-Klick-Erreichbarkeit
• Anmeldeschirm: "Benutzer existiert/existiert nicht"-Meldungen
• Private Internetnutzung: Browserverlauf-Problematik

Auskunftsrechte & Beschwerden

• Querulant mit wiederholten Auskunftsanfragen
• Vollständige vs. unvollständige Auskunftserteilung
• Akteneinsicht und Fristverlängerungen

Sonstiges

• Speicherdauer für nicht angenommene Angebote
• Externer DSB: Newsletter/Warnmails ohne Einwilligung
• Verbrauchsdatenerfassung: Informationspflichten
• Spediteur: falsche Zustelldaten und Haftung
• Digitale vs. postalische Arbeitszeugnisse

Hier finden Datenschutz-PRO-Mitglieder eine Aufzeichnung der Office Hours. Hier ist eine Übersicht der Themen, die wir besprochen haben:

Datenschutzbeauftragte & Beratung

• DSB-Wechsel bei laufenden Verträgen und Beratung ohne offizielles Mandat
• Rechtliche Beratung durch DSB zu AI Act, Data Act, NIS2, DORA
• Schulungsplattformen und BGH-Rechtsprechung zum Fernunterricht

Auskunftsrechte & Betroffenenrechte

• Art. 15 DSGVO bei Tageszeitungen und Online-Archiven
• Auslassen spezifischer Identifier in Betroffenenauskunft
• Arbeitszeugnis an falsche Person – Meldepflichten

Elektronische Patientenakte (ePA)

• Einwilligungspflicht für Arztpraxen
• Integration in bestehende Einwilligungen
• Anpassung der Datenschutzhinweise

Auftragsverarbeitung (AVV)

• Berufsgeheimnisträger und § 203 StGB-Klauseln
• Kritische Vertragsklauseln und Interessenkonflikte
• TÜV-Wartung: Auftragsverarbeitung vs. Nebentätigkeit
• Personalrat IT-Infrastruktur und Adminrechte

KI & Technologie

• Microsoft Copilot Recherche-Agent und pbD-Eingabe
• ChatGPT mit AVV-Vertrag
• Business GPT der Telekom
• Pseudonymisierung mit Tobit Sidekick
• Telefon-KI mit Echtzeitverarbeitung
• Interner Chatbot mit Feedback-System

Videoüberwachung & DSFA

• Betriebsrat vs. Arbeitgeber bei Videoüberwachung
• DSFA-Pflicht bei SAP SuccessFactors
• Teams-Aufzeichnungen von Betriebsversammlungen

Microsoft 365 & Cloud-Services

• DSGVO-konforme Tenant-Settings
• Business Premium im Kinderschutz-Kontext
• Office 365 für Versicherungsmakler mit BaFin/DORA

Marketing & Tracking

• Newsletter-Tracking und Einwilligung
• Google Tag Manager mit/ohne Matomo
• PV-Anlagen Werbung und Abmeldeprobleme
• TikTok-Nutzung im Unternehmen

Spezielle Branchen & Bereiche

• Jugendhilfe: Berufsgeheimnisschutz und Teams
• Hotel-Datenschutzschulungen
• Forschungsprojekte und Anonymisierung
• Versicherungsmakler und DORA-Compliance
• Mandantenportale mit Dritten ohne Einwilligung

Rechtliche Updates & Urteile

• EuGH-Urteil zum relativen Personenbezug (C-413/23 P)
• EU Data Act Pflichtinformationen
• Social Media Fotos nach DPF-Zertifizierung
• Berechtigtes Interesse und Mitteilungspflichten

Praktische Compliance-Fragen

• Einwilligungen: Original vs. PDF-Aufbewahrung
• Kontaktformulare ohne Einwilligung
• E-Mail Footer Vertraulichkeitsklauseln
• Personalakten: Löschung vs. Archivierung
• Externe Hardware als "Verarbeitung"
• Foto-Bearbeitung bei Mitarbeiterbildern

Besondere Situationen

• Nachruf verstorbener Mitarbeiter
• Partei-Mitgliedschaften und Auskunftspflichten
• Geheimschutz- und Datenschutzvorfälle
• Terminkalender von Behördenleitungen
• Interne Untersuchungen und Interviews
• Pocketbooks für handschriftliche Protokolle