Gemäß Art. 35 Abs. 4 DSGVO haben die Aufsichtsbehörden eine Liste von Verarbeitungstätigkeiten zu veröffentlichen, für die stets eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist. Die verschiedenen Landesbehörden sind dieser Aufgabe größtenteils schon im Jahr 2018 nachgekommen und auch die DSK hat dazu bereits eine Liste veröffentlicht. Unsere Übersicht dazu finden Sie hier. Auch die Bremische Landesbeauftragte […]
Aufsichtsbehörden
Aufsichtsbehörden
Blacklists Deutscher Aufsichtsbehörden – ein Update
Bereits im Sommer 2018 legten einzelne Aufsichtsbehörden sog. Blacklists vor. In diesen Listen sind Datenverarbeitungsverfahren aufgeführt, für die zwingend eine Datenschutz-Folgenabschätzung erforderlich ist (wir berichteten). Denn sobald die Rechte und Freiheiten von Personen durch eine Datenverarbeitung einem hohen Risiko ausgesetzt sind, ist vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen. Dies regelt Art. 35 DSGVO. Wann ist […]
Delay in reporting a data breach caused a fine of over €400,000 to Booking.com.
The Dutch Data Protection Authority has recently issued a fine of €475,000 to the online touristic operator Booking.com for having notified a data breach to the DPA with a sensible delay. The data breach The staff of about 40 Hotels located in the United Arab Emirates were cheated by a telephone scam and convinced to […]
Vermehrt Bußgelder aufgrund verspätetet gemeldeter Datenpannen
In letzter Zeit häufen sich die bekannt gewordenen Bußgelder aufgrund zu spät gemeldeter Datenpannen. Vor kurzem wurde nun auch ein Bußgeld gegen Booking.com i.H.v. 475.000€ publik. Dieses wurde verhängt, da es Cyberkriminellen Anfang 2019 gelang, über 4000 Kundendatensätze mit Namen, Adressen, Telefonnummern und in knapp 300 Fällen auch Kreditkarteninformationen vom Betreiber zu stehlen. Neben den […]
Katholische Datenschutzaufsichtsbehörde hält Videokonferenztool “Zoom” unter bestimmten Bedingungen für zulässig
In der Vergangenheit gab es immer wieder Diskussionen über das Videokonferenzsystem Zoom. Anfangs wurde es wegen seiner Funktionalität gefeiert, später kam das Tool durch Berichte über Sicherheitslücken bei vielen Datenschutzaufsichtsbehörden auf die „Schwarze Liste“. Nun gibt es eine erste positive Einschätzung einer katholischen Datenschutzbehörde zum Einsatz von Zoom, nämlich dass der Einsatz unter bestimmten Bedingungen […]
Datenschutz über den Tod hinaus?
Der LFDI Mecklenburg-Vorpommern wurde darüber informiert, dass ein städtischer Friedhof die Möglichkeit einräumen würde, online auf einem sogenannten Bestattungsportal nach Verstorbenen zu suchen sowie einen Trauerfeierkalender einzusehen. In dem zur Bewertung vorliegenden Fall gab der Petent an, dass er als Hinterbliebener keine Einwilligung zur Datenverarbeitung gegeben habe, und bat deshalb um rechtliche Prüfung. Hierbei vertrat […]
Das konzernweite CRM-System – Wann ein Bußgeld droht
Bei der Kundendatenverarbeitung nutzen größere Unternehmen meistens ein elektronisches Datenbanksystem, das als „CRM-System“ (Customer Relation Management) der Verwaltung der gesamten Informationen zum Kunden dient. In diesem System kann dann der Vertrieb oder aber der Support die Stammdaten (Name, Tel, E-Mail, Adresse) des Kunden direkt anlegen bzw. einsehen und oftmals auch mit weiteren Angaben verknüpfen, z.B. […]
Weitergabe von Gesundheitsdaten an Ehemann – Bußgeld i.H.v. 50.000 Euro
In diesem Beitrag möchten wir erneut auf die Bedeutung und den besonderen Schutz von Gesundheitsdaten eingehen. In Italien hat ein Verstoß gegen die datenschutzrechtlichen Vorgaben im Zusammenhang mit Gesundheitsdaten zu einem Bußgeld in Höhe von 50.000 Euro geführt. Sachverhalt In einem italienischen Krankenhaus hatte eine Patientin das Krankenhauspersonal ausdrücklich angewiesen, ihre Gesundheitsdaten (vorgesehener Schwangerschaftsabbruch) nicht […]
LfDI BW eröffnet Bußgeldverfahren gegen den VfB Stuttgart
Der Landesbeauftrage für den Datenschutz und die Informationsfreiheit (LfDI BW) hat ein Bußgeldverfahren gegen die VfB Stuttgart 1893 AG (AG) eröffnet. Herr Dr. Stefan Brink machte deutlich: „Wir lesen auch „Kicker“.“ Auch wenn die Bundesligamannschaft in dieser Saison durch ihre erfrischende und erfreulich offensive Spielweise zu gefallen weiß, war der VfB Stuttgart neben dem chaotischen […]
7. Göttinger Forum IT-Recht 2021 – Sind 3 Jahre DSGVO genug?
In wenigen Wochen feiert die DSGVO ihren dritten, eigentlich sogar ihren fünften Geburtstag – viele Vorträge datieren diesen Tag bereits nach vorne. Doch noch immer sorgt die europäische Verordnung zum Datenschutz hierzulande für Unzufriedenheit und bietet ein uneinheitliches Bild. Dies war auch der Grundtenor am zweiten Tag vom 7. Göttinger Forum IT-Recht, das sich als […]
Bußgelder in Millionenhöhe nicht haltbar?
Gegen die Deutsche Wohnen SE erging im Herbst 2019 ein Bußgeld in Höhe von 14,5 Millionen Euro aufgrund einer unverhältnismäßig langen Speicherdauer von Mieterdaten (wir berichteten). Die Deutsche Wohnen legte Einspruch gegen den Bußgeldbescheid ein, der bis dato das höchste Volumen in der deutschen Bußgeldhistorie umfasste. Das Landgericht Berlin hat den Bescheid nunmehr am 18. […]
Art. 23 DSGVO und der Europäische Datenschutzausschuss
Dürfen datenschutzrechtliche Betroffenenrechte durch Mitgliedsstaaten eingeschränkt werden? Der Europäische Datenschutzausschuss hat im Rahmen der 42. und 43. Sitzung zahlreiche Dokumente noch im vergangenen Jahr verabschiedet. Dieses Potpourri an Dokumenten umfasst neben einem Strategiedokument für den Zeitraum 2021 bis 2023 unter anderem weitere Dokumente wie die vorliegende Richtlinie 10/2020. Die Richtlinie thematisiert die Möglichkeiten der Beschränkungen […]
Und täglich grüßt das Bußgeld
CNIL reagiert auf unzureichende Maßnahmen gegen Credential Stuffing Angriffe Ende Januar gab die französische Datenschutzbehörde (CNIL) bekannt, dass sie ein Bußgeld in Höhe von insgesamt 225.000 Euro gegen einen Online Shop Betreiber (i.H.v. 150.000 Euro) und dessen Auftragsverarbeiter (i.H.v. 75.000 Euro) verhängt hat. Ursache für das Bußgeld sind unzureichende technische und organisatorische Maßnahmen zur Abwehr […]
Welche Datenpannen sind zu melden?
Am 18.01.2021 hat der Europäische Datenschutzausschuss (EDSA) Richtlinien zur Einordnung und Meldung von Datenpannen herausgegeben. Wir berichteten schon hier. Aufbauend auf dem Beitrag unserer Kollegin soll dieser Beitrag die vom EDSA aufgeführten Fallbeispiele summarisch zusammenfassen und einen ersten (stark verkürzten) Überblick geben. Vorangestellt finden sich die wesentlichen Kontrollfragen, die bei der Einordnung eines Verstoßes herangezogen […]
Massive Datenpanne personenbezogener Daten bei Scraping-Firma SocialArk
Über 300 Millionen Social-Media-Datensätze, die von verschiedenen Plattformen wie Facebook, Instagram und LinkedIn stammen, wurden kürzlich durch eine massive Datenpanne aus der Cloud von SocialArks offengelegt. Hiervon waren mehr als 400 GB öffentliche und private Account-Daten von etwa 214 Millionen Social-Media-Nutzern weltweit betroffen. Nach dem Vorfall wurden die Daten über das Internet verbreitet, darunter auch […]