The French data protection supervisory authority, Commission Nationale de l’Informatique et des Libertés (CNIL), recently published a Guide (25.04.2022) about call recording to prove the formation of a contract. When to record? The rule of thumb is to record calls that are necessary because there are no other means of proving that the data subject has […]

Zertifizierungspflicht für Betreiber und Betriebsführer – Neuerungen für Gasnetz-, Stromnetz- und Energieanlagenbetreiber
Mit der „Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog § 11 Abs. 1a und 1b EnWG im Fall einer Betriebsführung durch Dritte“ der Bundesnetzagentur vom 29.03.2022 werden zwei wichtige Änderungen vorgenommen: es entfallen annähernd alle Ausnahmen hinsichtlich einer Zertifizierung; damit sind insbesondere auch diejenigen Betreiber zukünftig zertifizierungspflichtig, die sich bislang auf ein Zertifikat ihres Betriebsführers gestützt haben; […]

Mitarbeitende als Models – Model Release Vertrag und der Datenschutz
Mittlerweile gehört es fast zum guten Ton Mitarbeiterfotos auf der Firmenwebsite zu veröffentlichen. Dass dies nur mit Einwilligung der Beschäftigten möglich ist – und damit immer die Möglichkeit besteht, dass Beschäftigte ihre Einwilligung widerrufen und die Fotos wieder entfernt werden müssen, erklären wir Ihnen in diesem Beitrag. Bei der Foto-Nutzung ohne Einwilligung drohen Bußgelder: Ein […]

Die freiwillige Benennung eines Datenschutzbeauftragen
Unter welchen Voraussetzungen Unternehmen einen Datenschutzbeauftragten (DSB) benennen müssen wird in Deutschland durch die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) geregelt. Nach § 38 BDSG muss ein DSB im Unternehmen benannt werden, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftig sind. Bei kleineren Unternehmen kann die Benennung eines […]

REJECT ALL by Google
Google introduced a “reject all” cookie button for Search and YouTube. Google launched in France a cookie banner enabling users to use Search and YouTube and “REJECT ALL” the cookies used for personalizing content and ads, measuring their effectiveness, or developing or improving new Google services. With the new cookie banner design, users are expected […]

„Bitte lächeln“ – Überwachung durch Wildkameras
Ab dem 1. Mai ging es wieder los – die Bockjagd ging in den meisten Bundesländern an diesem Tag wieder auf (d. h. ist ab diesem Tag wieder gestattet) und da in der heutigen hektischen Zeit kaum noch jemand die Muße für ein ausgiebiges Ansitzen findet, wird gerne auf technische Hilfsmittel zurückgegriffen: Wildkameras. Doch nicht […]
Auswirkungen der neuen ISO/IEC 27002:2022 auf zertifizierte ISMS
Mit der ISO/IEC 27002:2022 liegt eine neue Norm für Best-Practice-Anforderungen zur Informationssicherheit vor. Sie löst die bisherige 2013er-Version ab, ist völlig neu strukturiert und enthält viele neue Anforderungen zur Informationssicherheit. Eine Übersicht zu den Änderungen finden Sie hier. Welche Auswirkungen hat diese neue ISO/IEC 27002:2022 auf ein Informationssicherheits-Managementsystem (ISMS), das nach ISO/IEC 27001 zertifiziert ist? […]
BGH zu Ärztebewertungen – Grenzen des Löschanspruchs aus Art. 17 DSGVO
Wir haben uns in der Vergangenheit immer wieder in unserem Blog mit dem Recht auf Löschung aus Art. 17 DSGVO auseinandergesetzt – zuletzt hier. Art. 17 DSGVO ermöglicht es betroffenen Personen unter bestimmten Voraussetzungen, personenbezogene Daten durch den Verantwortlichen löschen zu lassen. Sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, hat der Verantwortliche, […]
OWASP Top 10 – A10 – Unzureichendes Logging & Monitoring
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit unzureichendem Logging und Monitoring. Um effektiv auf Sicherheitsvorfälle reagieren zu können und andauernde oder wiederholte Angriffe zu vermeiden, ist es essentiell ein entsprechendes Logging und Monitoring zu etablieren. Wird dies nur unzureichend umgesetzt, dann können Angreifer in […]
Neue Vorgaben für Netzbetreiber-Zertifizierung
Nach der Aktualisierung der Vorgaben für die Zertifizierung von Energieanlagenbetreibern gem. § 11 Abs. 1b EnWG – vgl. dazu unsere News vom 02.05.2022 – wurden nun von der Bundesnetzagentur auch die Vorgaben für die Zertifizierung von Netzbetreibern gem. § 11 Abs. 1a EnWG aktualisiert. Hintergrund Alle Netzbetreiber – übrigens unabhängig von einer Einstufung als Kritische […]
Der Auskunftsanspruch nach Art. 15 DSGVO bezogen auf Datenverarbeitungen des Betriebsrats
Gemäß Art. 15 Abs. 1 DSGVO steht Betroffenen – und damit natürlich auch Beschäftigten in ihrem Beschäftigungsverhältnis – ein umfassendes Auskunftsrecht gegenüber dem Verantwortlichen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten zu. Beschäftigte können darüber hinaus eine Kopie ihrer verarbeiteten Daten verlangen, Art. 15 Abs. 3 DSGVO. Ein solcher Anspruch umfasst grundsätzlich auch die personenbezogenen Daten […]
DSK zum datenschutzkonformen Online-Handel mittels Gastzugang: Ist die Kritik berechtigt?
Vor wenigen Tagen wurde ein Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 24. März 2022 veröffentlicht, der unter Datenschützerinnen und Datenschützern für reichlich Gesprächsstoff und Kritik sorgte. Im Wesentlichen enthält der Beschluss einige Aussagen zu den Anforderungen an den Online-Handel bzw. den Bestellvorgang im Internet. So wird unter anderem […]
1b-KBP aktualisiert
In der heutigen Zeit, in der es häufig darum geht, ein Stückchen der knappen Aufmerksamkeit des Publikums zu erhaschen, tauchen immer wieder reißerische, widersprüchliche oder die Neugier weckende Überschriften auf – so wie hier mit „1b-KBP aktualisiert“. Da wir Sie – werte Lesende – aber keinesfalls in die Irre führen wollen, sondern stets mit wertschöpfenden […]
Datenschutz beim Betriebsrat
Nachdem wir uns im März 2019 noch die Frage gestellt haben, ob der Betriebsrat ein eigener Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, hat der Gesetzgeber sich nun festgelegt. § 79a BetrVG bestimmt seit Juni 2021, dass der Betriebsrat kein Verantwortlicher im Sinne der DSGVO ist. Diese klare Feststellung schränkt der Gesetzgeber […]
OWASP Top 10 – A9 – Nutzung von Komponenten mit bekannten Schwachstellen
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Platz 9: Nutzung von Komponenten mit bekannten Schwachstellen. Webapplikationen wie Onlineshops, Portale oder Content Management Systeme haben mittlerweile einen großen Funktionsumfang und damit eine hohe Komplexität. In der Entwicklung wird daher auf fertige Komponenten zurückgegriffen, die allenfalls […]