Dieser Blogbeitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, behandelt sicherheitsrelevante Fehlkonfigurationen. Sicherheitsrelevante Fehlkonfigurationen umfassen einen großen Bereich an Sicherheitslücken, die sowohl bei der Installation und Konfiguration als auch bei Administration und Wartung einer Webapplikation entstehen können. Dabei können alle Ebenen der Anwendung inklusive der zugrundeliegenden Web- und Datenbankserver […]
Search Results for: tom und der datenschutz
Die Warenkorb-Abbrecher E-Mail
Das Online-Shopping hat insbesondere bei jüngeren Kund*innen längst mit dem stationären Handel gleichgezogen. Immer mehr Unternehmen bieten daher Ihre Ware auch im Internet über einen eigenen Webshop an und betreiben darüber hinaus ein aktives Marketing im hartumkämpften Wettbewerb. Da Webshops und Bestellsysteme immer intelligenter und benutzerfreundlicher werden, ergeben sich auch immer mehr (datenschutz-)rechtliche Fragestellungen rund […]
Umfasst das Auskunftsrecht zur Verarbeitung personenbezogener Daten auch interne Vermerke über Betroffene?
Das Auskunftsrecht gem. Art. 15 Datenschutz-Grundverordnung (DSGVO) ist zentraler Bestandteil der Betroffenenrechte aus der DSGVO. Es kann grds. von jeder betroffenen Person gegenüber der verantwortlichen Stelle ausgeübt werden und ist im Gesetz wie folgt definiert: „(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten […]
Das E-Rezept am Horizont – sind die elektronischen Rezepte jetzt sicher?
Vor fast einem Jahr berichteten wir, dass neben der kürzlich eingeführten elektronischen Patientenakte das E-Rezept zukünftig den Versorgungsalltag erleichtern soll. Zur Erinnerung: Das E-Rezept ist das rosafarbene Papier in Form eines QR-Codes in einer App auf dem Smartphone der Patient*innen. In unserem Beitrag kritisierten wir insbesondere, dass der Entwickler des E-Rezepts, die gematik GmbH, in […]
Der Postsack und die DSGVO
Immer wieder ergehen Urteile zum Datenschutzrecht, die etwas aus dem Rahmen fallen und für den geneigten Leser etwas zum Schmunzeln sein könnten. In unserem Nachbarland Österreich wurde vor wenigen Wochen vom Bundesverwaltungsgericht Wien (Urteil vom 22.12.2020, Az.: W258 2225293-1/6E) eine Entscheidung getroffen, die wegen ihrer grundlegenden Bedeutung für das europäische Datenschutzrecht eine besondere Erwähnung verdient. […]
Have I Been Pwned erhält Unterstützung vom FBI
Datendiebstahl ist leider allgegenwärtig. Für Sie und mich als Benutzer von Internetdiensten, Webseiten u. ä. stellt sich quasi täglich die Frage, ob ein persönlicher Account von einem Hack betroffen ist. Genau für diese Fälle bietet Troy Hunt die Webseite Have I Been Pwned (HIBP) unter https://haveibeenpwned.com/ an. Auf der Webseite werden Daten zu Hacks gesammelt […]
Kardinalspflicht Transparenz
Mit Inkrafttreten der DSGVO und dem damit verbundenen Anstieg des Bußgeldrahmens hat das Thema Transparenzpflichten (Art. 13 und Art. 14 DSGVO) erheblich an Bedeutung gewonnen. Nicht selten werden Verantwortliche hierdurch vor große Herausforderungen gestellt und können die hohen Anforderungen nicht hinreichend umsetzen. Dabei ist die Transparenzpflicht eines der Herzstücke des Datenschutzes und eine wesentliche Basis […]
Das Ende des unwirksamen Cookie-Banners kommt!!?
Zumindest wenn es nach Max Schrems geht. Cookie-Banner bestimmen seit geraumer Zeit das Leben aller Webseitensurfer der EU. Nicht zuletzt auf Grund der Urteile des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) ist auf (fast) allen Seiten kein direktes shoppen, stöbern, surfen mehr möglich, ehe nicht die Einwilligung in das Setzen von Cookies erteilt oder […]
OWASP Top 10 – A5 – Fehler in der Zugriffskontrolle
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Fehlern in der Zugriffskontrolle und der damit verbundenen horizontalen oder vertikalen Rechteausweitung. Zugriffsrechte für authentifizierte Nutzer werden in Webapplikationen häufig nicht korrekt um- bzw. durchgesetzt. Dieser Umstand ermöglicht es schließlich Angreifern, auf Funktionen oder Daten zuzugreifen, für […]
Ist das angemessene Schutzniveau nach Art. 32 DSGVO (nun doch) abbedingbar?
Nach Art. 32 DSGVO ist jeder Verantwortliche und Auftragsverarbeiter dazu verpflichtet technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Bei der Auswahl der geeigneten Maßnahmen hat der Verantwortliche oder Auftragsverarbeiter hierbei insbesondere die Art, den Umfang und die Zwecke der Verarbeitung zu berücksichtigen. Auch gilt es […]
Darf der Arzt dem Patienten den Befund per E-Mail zusenden?
Oder: Ist die Einwilligung in eine unsichere Datenverarbeitung trotz Art. 32 DSGVO denkbar? Schon seit vielen Jahren beschäftigten sich die Datenschützer mit der Diskussion, ob die Anforderungen an die technisch-organisatorischen Maßnahmen (TOM) aus Art. 32 DSGVO auf Grundlage der Einwilligung des Betroffenen ihm gegenüber abgesenkt werden können. Sieht es die DSGVO überhaupt vor, dass ein […]
iBorderCtrl und ein Exit-Entry-System der EU
Die EU will ihre Außengrenzen besser schützen. Dazu soll in den nächsten Jahren (im Raum stehen 2022 oder 2023) ein Ein-/Ausreisesystem (Exit-Entry-System = EES) eingesetzt werden. Durch das EES werden Stammdaten der Einreisenden aus Drittländern wie z. B. Name und Geburtsdatum erhoben. Darüber hinaus sollen auch biometrische Daten wie Fingerabdrücke und Lichtbilder gespeichert werden. Außerdem […]
Sicheres Cloud Computing für Unternehmen
Für die sichere Cloud-Nutzung sollte Informationssicherheit beginnend bei der IT-Strategie bis zum letztendlichen Vertragsabschluss berücksichtig werden. Dazu kann sich z. B. an der Vorgehensweise der Veröffentlichung „Sichere Nutzung von Cloud-Diensten“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert werden. Ähnlich wie die Verankerung der Informationssicherheit in einem Unternehmen, bspw. durch die Etablierung eines ISMS […]
Blacklists Deutscher Aufsichtsbehörden – ein Update
Bereits im Sommer 2018 legten einzelne Aufsichtsbehörden sog. Blacklists vor. In diesen Listen sind Datenverarbeitungsverfahren aufgeführt, für die zwingend eine Datenschutz-Folgenabschätzung erforderlich ist (wir berichteten). Denn sobald die Rechte und Freiheiten von Personen durch eine Datenverarbeitung einem hohen Risiko ausgesetzt sind, ist vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen. Dies regelt Art. 35 DSGVO. Wann ist […]
Videoanalytik – Nutzung von Videotechnik abseits von klassischer Videoüberwachung
Lange Zeit war die Nutzung von Videokameras, vor allem bei der klassischen Überwachung, zur Diebstahlsprävention oder zur Zutrittskontrolle präsent. Hierbei beschränkte sich die Überwachung meistens auf ein Aufzeichnen des Bildmaterials und die Auswertung bei Schadensfällen. Mit Fortschreiten der Technik und vor allem wegen des Preisverfalls der Soft- und Hardware werden immer weitere Einsatzgebiete erschlossen. Beispielsweise […]