Die schwedische Aufsichtsbehörde hat kürzlich ein Bußgeld i. H. v. 12 Millionen schwedischen Kronen (ca. 1 Millionen Euro) aufgrund unzulässiger Datenübermittlungen in Drittländer gegen das Telekommunikationsunternehmen Tele2 verhängt. Die Unternehmen Coop und Dagens Industri hingegen erhielten lediglich eine Verwarnung der Aufsichtsbehörde, da diese stärkere Schutzmaßnahmen implementiert hatten. Nach Ansicht der schwedischen Aufsichtsbehörde waren die ergriffenen Maßnahmen durch […]
Philian Hole
Posts by Philian Hole:

Worst-Case-Szenario Datenleak – Blogreihe zum Thema Cybersecurity und Datenschutz
Ransomware-Angriffe sind weiterhin in aller Munde und eine akute Bedrohung. Immer öfter erbeuten die Angreifergruppen zuvor aber auch sensible Datensätze der betroffenen Organisation bevor sie damit beginnen die Systeme zu verschlüsseln. Ein prominentes Beispiel aus dem vergangenen Jahr ist der Cyberangriff auf den DAX-Konzern Continental (hier nachzulesen). Teilweise haben es Angreifergruppen mittlerweile auch gezielt „nur“ […]

Ransomware-Angriff: Alles verschlüsselt! Was nun? – Blogreihe zum Thema Cybersecurity und Datenschutz
Ransomware-Angriff! Das Wort dürfte jedem Mitglied der Leitungsebene sowie den IT-Verantwortlichen einer Organisation einen kalten Schauer den Rücken herunterlaufen lassen. Denn die Folgen eines Ransomware-Angriffs sind oftmals verheerend und können im schlimmsten Fall existenzbedrohend sein. Seit Jahresbeginn waren erneut zahlreiche Unternehmen und öffentliche Organisationen betroffen und hatten mit den gravierenden Folgen zu kämpfen. Jüngst ist […]

Horrorszenario Cyberangriff – Blogreihe zum Thema Cybersecurity und Datenschutz
Pro Tag erfolgen in Deutschland Tausende Cyberangriffe auf Unternehmen, öffentliche Stellen und Bildungseinrichtungen. Wer sich hierzu ein Bild machen möchte, kann sich z. B. auf Sicherheitstacho (Telekom), Threatmap (Fortiguard) oder auf der Website von Akamai verschiedene Arten von Cyberangriffen in Echtzeit anzeigen lassen. Was hier aussieht wie ein Computerspiel aus den 90ern ist die Veranschaulichung […]
Facebook Business Tools – Datenübermittlung an Facebook unzulässig?
Die Dienste von Meta, dem Mutterkonzern von Facebook, Instagram und WhatsApp (um nur einige zu nennen), sind schon seit langer Zeit im Fadenkreuz der europäischen Datenschutzbehörden und vieler Datenschutzaktivist*innen. Mittlerweile wurden von der federführenden irischen Aufsichtsbehörde (Meta hat seinen europäischen Sitz in Dublin) seit Inkrafttreten der DSGVO im Mai 2018 insgesamt fast 700 Mio. Euro […]
Laptops ohne Festplattenverschlüsselung sind ein Bußgeldrisiko
In vielen Berufszweigen ist er mittlerweile nicht mehr wegzudenken, der Laptop. Ermöglicht er doch dank Internet und Techniken wie VPN & Co. das Arbeiten von Zuhause, aus der Bahn oder dem Hotel. Durch die gestiegene Flexibilität bei den Arbeitsorten und den Arbeitszeiten steigt aber gleichzeitig das Risiko, dass das Notebook in unbefugte Hände gerät, geklaut […]
Die (unterschätzte) Tragweite der Rechenschaftspflicht
In der Vergangenheit berichteten wir bereits mehrfach (z. B. hier und hier) wie wichtig es ist, personenbezogene Daten rechtzeitig zu löschen bzw. zu vernichten, sobald diese nicht mehr für die verfolgten Zwecke erforderlich sind. In diesem Blogbeitrag soll es aber nun zur Abwechslung einmal um Dokumente gehen die tunlichst für eine gewisse Zeit aufbewahrt werden sollten. […]
Der interne Datenschutzbeauftragte im Interessenkonflikt
Die Rolle des Datenschutzbeauftragten sowie die dazugehörigen Aufgaben sind in Art. 38 und Art. 39 DSGVO definiert. Demnach wirkt der (externe oder interne) Datenschutzbeauftragte darauf hin, dass der Verantwortliche die datenschutzrechtlichen Verpflichtungen einhält, unterstützt diesen bei der Umsetzung und fungiert zudem als weisungsfreie Kontrollinstanz. Wird ein Beschäftigter als interner Datenschutzbeauftragter benannt, kann dieser neben der […]

Österreichische DSB hält Einsatz von Google Analytics für nicht DSGVO-konform
Als der EuGH im Juli 2020 sein „Schrems II“-Urteil verkündete und darin feststellte, dass eine Übermittlung an US-Provider, die unter FISA 702 und EO 12.333 fallen, regelmäßig dazu führt, dass ein angemessenes Datenschutzniveau nicht gewährleistet werden kann, da das „Privacy Shield“ mit dem Urteil für ungültig erklärte wurde, war das Entsetzen zunächst groß. Gleichzeit bestätigte […]
Gravierende Datenpannen bei zahlreichen Corona-Testzentren
In dieser Woche widmen wir uns im Blog der „Datenpanne“ und beginnen hier mit einem Themenbereich, der uns alle auch im neuen Jahr 2022 noch weiter beschäftigen wird: Der Umgang mit Corona-Testergebnissen in der Pandemie. Ohne Frage sind Corona-Testzentren ein fundamentales Instrument bei der Bekämpfung der COVID-19-Pandemie. Vor der ausreichenden Verfügbarkeit von Impfstoff zur Immunisierung […]
Kardinalspflicht Transparenz
Mit Inkrafttreten der DSGVO und dem damit verbundenen Anstieg des Bußgeldrahmens hat das Thema Transparenzpflichten (Art. 13 und Art. 14 DSGVO) erheblich an Bedeutung gewonnen. Nicht selten werden Verantwortliche hierdurch vor große Herausforderungen gestellt und können die hohen Anforderungen nicht hinreichend umsetzen. Dabei ist die Transparenzpflicht eines der Herzstücke des Datenschutzes und eine wesentliche Basis […]
Ist das angemessene Schutzniveau nach Art. 32 DSGVO (nun doch) abbedingbar?
Nach Art. 32 DSGVO ist jeder Verantwortliche und Auftragsverarbeiter dazu verpflichtet technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Bei der Auswahl der geeigneten Maßnahmen hat der Verantwortliche oder Auftragsverarbeiter hierbei insbesondere die Art, den Umfang und die Zwecke der Verarbeitung zu berücksichtigen. Auch gilt es […]
Vermehrt Bußgelder aufgrund verspätetet gemeldeter Datenpannen
In letzter Zeit häufen sich die bekannt gewordenen Bußgelder aufgrund zu spät gemeldeter Datenpannen. Vor kurzem wurde nun auch ein Bußgeld gegen Booking.com i.H.v. 475.000€ publik. Dieses wurde verhängt, da es Cyberkriminellen Anfang 2019 gelang, über 4000 Kundendatensätze mit Namen, Adressen, Telefonnummern und in knapp 300 Fällen auch Kreditkarteninformationen vom Betreiber zu stehlen. Neben den […]
Keine Veröffentlichung von Gruppenfotos auf Social-Media-Seiten ohne Einwilligung
Können Gruppenfotos ohne die Einwilligung der abgebildeten und erkennbaren Personen auf Social-Media-Seiten veröffentlicht werden? Mit dieser Frage musste sich das OVG Lüneburg kürzlich genauer befassen und gelangt letztendlich zu dem Schluss, dass bei der Veröffentlichung von Gruppenfotos regelmäßig die Einwilligungen der abgebildeten Personen oder die Unkenntlichmachung (z.B. durch Verpixelung) der Gesichter erforderlich ist. Das OVG […]
Vermehrt Bußgelder wegen unzureichender Löschroutinen
Das Thema Löschung und die Umsetzung von Löschkonzepten hat mit dem Inkrafttreten der DSGVO immer weiter an Bedeutung gewonnen. Oftmals werden Unternehmen bei der Entwicklung und Umsetzung eines, den Anforderungen der DSGVO entsprechenden, Löschkonzepts, nicht zuletzt aufgrund der oftmals historisch gewachsenen IT-Infrastrukturen, vor große Herausforderungen gestellt. Dies hindert die Aufsichtsbehörden jedoch nicht daran Sanktionen gegen Organisationen […]