Welche Auswirkungen wird das Gesetz zur Bekämpfung von Unternehmenskriminalität auf den Datenschutz haben? In den letzten Tagen hat die derzeitige Bundesjustizministerin, Frau Christine Lamprecht, für Furore gesorgt, als sie den ersten Referentenentwurf zum “Gesetz zur Bekämpfung von Unternehmenskriminalität“ vorgelegt und damit eine Vereinbarung der Großen Koalition (Zeile 5895-5920) eingelöst hat. Schwerpunkte dieses Gesetzesentwurfs sind die […]
Datenschutz-Grundverordnung
Hellenic DPA Fines PWC for Unlawful Processing of Employee Data
The Hellenic Data Protection Authority has fined PriceWaterhouseCoopers Business Solutions SA 150,000.00 € for unlawful processing of employee data, after the Authority had conducted an ex officio investigation in response to a complaint. The Authority also ordered a series of corrective measures and gave PWC three months’ time for their implementation. Reportedly, the company had […]
Fehlendes Berechtigungskonzept im Krankenhaus, ein bußgeldbewehrtes Risiko!
Zu den wohl größten datenschutzrechtlichen Risiken im Krankenhaus zählt freilich ein fehlerhaftes oder gänzlich nicht vorhandenes Berechtigungskonzept. Über dieses wird definiert, wer wann welche Informationen über Patienten einsehen und verarbeiten darf. Erst kürzlich wurde das größte Krankenhaus in Den Haag, das Haga Hospital, wegen eines Verstoßes gegen die DSGVO mit einem Bußgeld in Höhe von […]
Teilnahme am Gewinnspiel darf mit Werbeeinwilligung gekoppelt werden
Das OLG Frankfurt a.M. überrascht mit einer Aussage im Urteil vom 27.06.2019 (Az.: 6 U 6/19). Danach sei es für die Wirksamkeit einer Einwilligung nicht schädlich, wenn diese mit der Teilnahme an einem Gewinnspiel verknüpft sei. Wird diese Entscheidung künftig dazu führen, dass Anbieter von Gewinnspielen völlige Narrenfreiheit haben? Sachverhalt Der Sachverhalt, der diesem Urteil […]
Der Bußgeldkatalog der DSGVO
Das Bußgeld ist (und bleibt wohl) eins der Themen, das die meisten Personen mit der Novellierung des Datenschutzrechts in Verbindung bringen. Wofür ein Bußgeld verhängt werden kann, darüber sind sich die meisten Unternehmen nicht im Klaren. Und so haben zwar viele Chefs und Angestellte Angst davor, ein Bußgeld in exorbitanter Höhe zu erhalten – das […]
Anschluss unter 27701
Diese Nummer sollte man sich merken: ISO 27701. Und nein, kein Tippfehler – gemeint ist nicht ISO 27001, sondern ISO/IEC 27701. Dies ist die neue Ergänzungsnorm für ein Datenschutz-Managementsystem. Nanu, darüber wurde doch schon am 04. März 2019 hier berichtet. Was ist neu? Neu ist, dass die vormals im Draft ISO/IEC 27552 genannte Norm final […]
Wann ist eine Datenschutz-Folgenabschätzung erforderlich? Zur Stellungnahme des Europäischen Datenschutzbeauftragten
Der Europäische Datenschutzbeauftragte (EDPS) hat sich am 16.07.2019 zu den Kriterien für die Erforderlichkeit einer Datenschutz-Folgenabschätzung geäußert. Zur Erinnerung: Eine Datenschutz-Folgenabschätzung ist gem. Art. 35 DSGVO für den Verantwortlichen insbesondere dann erforderlich, wenn „[…]eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich […]
Forum shopping between data protection authorities?
The data protection authority (DPA) of the German federal state of Hamburg recently opened administrative proceedings against Google. It relates to Google’s “Google Assistant” System, the natural language assistant behind the “Google Home” speaker, and transcripts from it. The Belgian public broadcaster VRT NWS recently revealed that recordings from “Google Assistant” were systematically listened to […]
“Forum shopping” zwischen Aufsichtsbehörden?
Die Datenschutzbehörde des Landes Hamburg hat kürzlich ein Verwaltungsverfahren gegen Google eröffnet. Es bezieht sich auf das Google-System “Google Assistant”, den Sprachassistenten hinter dem “Google Home” -Lautsprecher, und Abschriften daraus. Der belgische öffentlich-rechtliche Sender VRT NWS hat kürzlich veröffentlicht, dass Aufzeichnungen von „Google Assistant“ systematisch von Menschen abgehört und transkribiert wurden: von freiberuflichen Google-Vertragspartnern. In […]
Europaweit einheitliche Fristberechnung bei der Meldung von Datenpannen?
In Anbetracht der hohen Sanktionsmöglichkeiten der DSGVO kommt der Einhaltung von Fristen eine besondere Bedeutung zu. In der Praxis spielt insbesondere die korrekte Bemessung der 72-Stundenfrist zur Meldung von Datenpannen für Unternehmen eine wichtige Rolle. Die Pflicht zur Meldung nach Art. 33 DSGVO setzt in dem Zeitpunkt ein, in dem die Verletzung dem Verantwortlichen bekannt […]
Datenschutzmanagement-System – Alles im Griff?
Die Datenschutzgrundverordnung (DSGVO) mit ihrer Umsetzung stellt für viele Unternehmen eine große Aufgabe dar. Sie verpflichtet Unternehmen ein Datenschutzmanagement einzuführen, das den Schutz der personenbezogenen Daten im Unternehmen sicherstellen soll. Doch welche Gründe sprechen für die Einführung eines Datenschutzmanagement-Systems (DSMS) bzw. welche Ziele können durch den Einsatz erreicht werden? Exemplarisch haben wir die folgenden drei […]
Ist die Kommunikation per E-Mail wirklich unsicher?
Im jüngsten Tätigkeitsbericht von 2019 (S. 99) des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und (auch in einigen anderen) findet sich die Feststellung, dass ein unverschlüsselter Versand von personenbezogenen Daten per E-Mail nicht ausreichend sicher sei. Leider wird nicht weiter darauf eingegangen, was genau mit “Verschlüsselung” gemeint ist. Geht es hier um die Verschlüsselung des Inhalts […]
Annual Report of the Finish Data Protection Authority
The Finnish data protection authority (the Office of the Data Protection Ombudsman) has recently published its annual reports on May 17th 2019.[1] This short article summarizes the most interesting fact regarding the English summary report. Major Focus Points of the Finnish Data Protection Authority The authority plans to focus until 2020 on the data subject’s […]
Bußgeld gegen Stadtverwaltung
Die Norwegische Datenschutzaufsicht Datatilsynet hat ein Bußgeld in Höhe von umgerechnet 170.000 Euro gegen die Stadtverwaltung von Bergen verhängt. Der Fall Über 35.000 Benutzerkonten von Schülern und Schulangestellten waren offen zugänglich. Fehlende Sicherheitsmaßnahmen führten dazu, dass sich jeder in unterschiedlichste Informationssysteme einloggen konnte. Dabei waren Daten wie Name, Passwort, Geburtsdatum, Adresse, Schulzugehörigkeit und Schulnote des […]
GUIDELINES ON THE PROCESSING OF PERSONAL DATA UNDER ARTICLE 6(1) (B) GDPR: EDPB BEGINS PUBLIC CONSULTATION
As anticipated under the provision of Article 70(4) of the GDPR, the European Data Protection Board (EDPB), on the 12th April 2019 began a public consultation on the Guidelines 2/2019 on the processing of personal data under Article 6(1) (b) GDPR in the context of the provision of online services to data subjects (the Guidelines), with the […]