Der Tätigkeitsbericht der Katholischen Datenschutzaufsicht Nord (KDSA-Nord)für das Jahr 2020 ist veröffentlicht. Abrufbar hier Erwartungsgemäß wurde die Arbeit der Datenschutzaufsicht stark durch die Corona-Pandemie beeinflusst. So haben im gesamten Jahr 2020 nur zwei Vor-Ort-Prüfungen stattgefunden, wohingegen die Prüfung nach Aktenlage stark zugenommen hat. Pandemie prägt Tätigkeit der Aufsichtsbehörde Wie auch wir in unserer Beratung bemerkt […]
Aufsichtsbehörden
Aufsichtsbehörden
Scoring – neue Broschüre schafft Klarheit
Ende Juni veröffentlichte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg eine lesenswerte Broschüre für Unternehmen zum Thema Scoring „Scoring – solide Prognose oder miese Nummer?“. Insbesondere Freunde fragen mich immer wieder, ob das Geschäftsmodell der sog. Auskunfteien wie die Schufa, Creditreform, Bürgel (um nur drei bekannte Namen zu nennen) denn überhaupt zulässig ist. Bei dieser […]
Gesprächsaufzeichnungen auf ungeschützten Webservern
Über die Telefonnummer 1177 können in Schweden medizinische Einrichtungen kontaktiert werden und es können Konsultationen über Krankheiten und Beschwerden eingeholt werden. 2019 berichteten schwedische Medien darüber, dass über die Telefonnummer 1177 gewählte Anrufe als aufgezeichnete Audiodateien auf Webservern ohne Passwortschutz offengelegt wurden. Diese unrechtmäßige Offenlegung von personenbezogenen Daten stellt eine Verletzung des Schutzes personenbezogener Daten […]
Das Ende der Facebook-Ära für öffentliche Stellen des Bundes?
In einem Rundschreiben vom 20. Mai 2019 an alle obersten Bundesbehörden hatte der BfDI bereits betont, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage derzeit nicht möglich sei. Hierbei hat er auf die Erforderlichkeit hingewiesen, dass öffentliche Stellen, die eine Fanpage betreiben, mit Facebook eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen, die den Anforderungen des Art. 26 DSGVO […]
Darf der Vermieter die Kontaktdaten des kündigenden Mieters an Dritte weitergeben?
Kurz vor der Sommerpause hat der Sächsische Datenschutzbeauftragte (LfD Sachsen) seinen Tätigkeitsbericht für das Jahr 2020 (TB 2020) veröffentlich. Wie nicht anders zu erwarten, spielt die Corona-Pandemie eine entscheidende Rolle. Aber auch abseits des Virus finden sich interessante Themen, die, wie das nachfolgende, zunehmend in den Fokus geraten und die Aufsichtsbehörden landauf, landab beschäftigen: Weitergabe […]
Details zum Bußgeldbescheid gegen die VfB Stuttgart 1893 AG: Engagement für junge Menschen verhindert höheres Bußgeld
Zum Datenschutzverfahren des Landesbeauftragen für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) gegen die VfB Stuttgart 1893 AG (VfB AG), über das wir allgemein und konkreter zum Bußgeldbescheid bereits berichtet hatten, sind nun weitere Details bekannt geworden. Sachverhalt und Tathandlung zum Bußgeldbescheid: Datenübermittlungen ohne Vertragsgrundlage Wie bei vielen anderen Vereinen im Profifußball, so reifte […]
Fragebogenaktion zu Schrems II – Das sollten Unternehmen wissen!
Schrems II Urteil vom 16. Juli 2020 – Jetzt prüfen die Datenschutzaufsichtsbehörden Mit einer Fragebogenaktion überprüfen die Datenschutzaufsichtsbehörden länderübergreifend die Umsetzung der Schrems II Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (Rechtssache C-311/18, „Schrems II“) in Unternehmen. Seit 2016 bildete das „Privacy Shield“ (EU-US-Datenschutzschild) die Grundlage für die Übermittlung von personenbezogenen Daten von […]
Kein Vertrag zur gemeinsamen Verantwortlichkeit? – 13.000 € bitte!
Was ist diese mysteriöse gemeinsame Verantwortlichkeit? Wenn mehrere Verantwortliche die Zwecke und Mittel einer Datenverarbeitung gemeinsam bestimmen, besteht eine sogenannte gemeinsame Verantwortlichkeit nach Artikel 26 Datenschutz-Grundverordnung. Das klingt erst einmal sehr abstrakt, findet sich in der Praxis jedoch häufig. Gemeinsam verantwortlich für die Datenverarbeitung sind nicht nur Facebook und Facebook-Fanpagebetreiber, wie der Europäische Gerichtshof in […]
Ist das Fax wirklich nicht datenschutzkonform?
Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Bremen (LfDI) hat auf ihren Webseiten der datenschutzkonformen Nutzung von Telefax eine Absage erteilt. Die entsprechende Veröffentlichung datiert auf den 13. März 2020, scheint jedoch erst in diesem Monat veröffentlicht worden zu sein. Hintergrund der Bewertung durch die LfDI sind einerseits die technischen Änderungen innerhalb der Telefonnetze. […]
Ist das angemessene Schutzniveau nach Art. 32 DSGVO (nun doch) abbedingbar?
Nach Art. 32 DSGVO ist jeder Verantwortliche und Auftragsverarbeiter dazu verpflichtet technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Bei der Auswahl der geeigneten Maßnahmen hat der Verantwortliche oder Auftragsverarbeiter hierbei insbesondere die Art, den Umfang und die Zwecke der Verarbeitung zu berücksichtigen. Auch gilt es […]
Portuguese Data Protection Authority Orders Suspension of Data Transfer to USA
The Portuguese Data Protection Commission (Comissão Nacional de Proteção de Dados – CNPD) has ordered the Portuguese office of national statistics (Instituto Nacional de Estatística – INE) to suspend within 12 hours the transfer of personal data from the Census 2021 survey to the USA or other so-called third countries without an adequate level of […]
Bremen veröffentlicht neue Blacklist für Datenschutz-Folgenabschätzungen
Gemäß Art. 35 Abs. 4 DSGVO haben die Aufsichtsbehörden eine Liste von Verarbeitungstätigkeiten zu veröffentlichen, für die stets eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist. Die verschiedenen Landesbehörden sind dieser Aufgabe größtenteils schon im Jahr 2018 nachgekommen und auch die DSK hat dazu bereits eine Liste veröffentlicht. Unsere Übersicht dazu finden Sie hier. Auch die Bremische Landesbeauftragte […]
Blacklists Deutscher Aufsichtsbehörden – ein Update
Bereits im Sommer 2018 legten einzelne Aufsichtsbehörden sog. Blacklists vor. In diesen Listen sind Datenverarbeitungsverfahren aufgeführt, für die zwingend eine Datenschutz-Folgenabschätzung erforderlich ist (wir berichteten). Denn sobald die Rechte und Freiheiten von Personen durch eine Datenverarbeitung einem hohen Risiko ausgesetzt sind, ist vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen. Dies regelt Art. 35 DSGVO. Wann ist […]
Delay in reporting a data breach caused a fine of over €400,000 to Booking.com.
The Dutch Data Protection Authority has recently issued a fine of €475,000 to the online touristic operator Booking.com for having notified a data breach to the DPA with a sensible delay. The data breach The staff of about 40 Hotels located in the United Arab Emirates were cheated by a telephone scam and convinced to […]
Vermehrt Bußgelder aufgrund verspätetet gemeldeter Datenpannen
In letzter Zeit häufen sich die bekannt gewordenen Bußgelder aufgrund zu spät gemeldeter Datenpannen. Vor kurzem wurde nun auch ein Bußgeld gegen Booking.com i.H.v. 475.000€ publik. Dieses wurde verhängt, da es Cyberkriminellen Anfang 2019 gelang, über 4000 Kundendatensätze mit Namen, Adressen, Telefonnummern und in knapp 300 Fällen auch Kreditkarteninformationen vom Betreiber zu stehlen. Neben den […]