Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) haben Betroffene das Recht zu erfahren, ob personenbezogene Daten von ihnen verarbeitet werden und, wenn ja, welche das sind. Dabei muss der Betroffene weder Form noch Frist oder Dienstweg einhalten und auch keine spezifischen Voraussetzungen erfüllen. Trotz oder wohl eher wegen der sehr weiten Ausgestaltung des Auskunftsanspruchs besteht in der Praxis mitunter Klärungsbedarf in Bezug auf die genaue Ausgestaltung der Auskunft.

Sind der Betreiber eines sozialen Netzwerks (z. B. Facebook) und die Betreiber einer entsprechenden Profilseite (z. B. Fanpage) gemeinsam datenschutzrechtlich verantwortlich? Insbesondere über diese zentrale Frage hatte das Verwaltungsgericht (VG) Köln zu entscheiden.

Anfang September dieses Jahres sind drei Entscheidungen erschienen, die jeweils wichtige Fragestellungen im Datenschutzrecht adressieren. So gibt es Neues zu den Fragen, wann Daten Personenbezug haben, wann ein ersatzfähiger Schaden vorliegt und ob der Angemessenheitsbeschluss der USA Bestand hat.

Wie Sie Schwachstellenmanagement risikoorientiert und zukunftssicher aufstellen Die Meldung kam überraschend: Die europäische Cybersicherheitsbehörde (ENISA) hat im April 2025 inmitten weltweiter Unsicherheit über die Zukunft der CVE-Datenbank kurzerhand ihre eigene Schwachstellendatenbank online gestellt – die European Vulnerability Database (EUVD). Während in den USA um Vertragsverlängerungen und Stiftungsmodelle für CVE gerungen wurde, hat Europa einfach geliefert.

Kommt es zum Datenschutzverstoß, kann das Ärger bedeuten. So war es auch in einem Fall, zu dem das Verwaltungsgericht (VG) Wiesbaden dem Europäischen Gerichtshof (EuGH) Fragen vorlegte. Und zwar: Muss eine Aufsichtsbehörde bei Verstößen immer etwas unternehmen Nein, meint der EuGH (26.9.2024, Rs. C‑768/21).