In diesem Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, wird das sogenannte Cross-Site-Scripting (XSS) näher erläutert. XSS bezeichnet eine Angriffsmethode, bei der eine Webapplikation Benutzereingaben wiedergibt, ohne diese zu überprüfen. Dadurch kann ein Angreifer Schadcode an den Browser eines Benutzers übermitteln, wobei es sich um JavaScript-Code handelt. JavaScript […]
Die „Verarbeitung“ im Sinne der DSGVO – und die Realität
Sie wollten schon immer einmal wissen, was sich hinter dem Begriff der „Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO“ verbirgt? Dann sind Sie damit nicht allein: Mein Kollege Conrad S. Conrad hat sich mit diesem Begriff dezidiert in der neuen Ausgabe der Fachzeitschrift Datenschutz und Datensicherheit (DuD) auseinandergesetzt. Er spannt dabei einen Bogen […]
Daten-Synthetisierung – eine Alternative zur Anonymisierung?
Die „technologische Anschlussfähigkeit“ Europas ist im internationalen Wettbewerb unverzichtbar und kann aufgrund der hohen europäischen Datenschutzstandards auch als Chance angesehen werden, um neue Datenverarbeitungstechnologien in der Form einzusetzen, dass sowohl Unternehmensinteressen als auch die Interessen von Betroffenen ausreichend berücksichtigt werden können und die Daten zugleich eine hohe Nachnutzbarkeit haben. Dieser Beitrag skizziert, inwieweit die Daten-Synthetisierung […]
„neuralMatch“ – Apple bekämpft sexualisierte Gewalt
Vor Kurzem kündigte Apple an, eine Überwachung von Inhalten einzuführen, die über Apple-Geräte in die Apple-Cloud hochgeladen werden. Mit dem sog. CSAM-Scanning, wobei CSAM für „Child Sexual Abuse Material“ steht, möchte Apple zunächst nur in den USA einen Beitrag zur Bekämpfung von Kinderpornographie leisten. In den USA arbeitet Apple zu diesem Zweck mit der nichtstaatlichen […]
Transparenzgebot – Datenschutzhinweise richtig zur Sprache bringen
Datenschutzhinweise haben es nicht leicht! Vielerorts unbeachtet, mancherorts zu ausführlich und noch häufiger zu „juristisch“ verfehlen Datenschutzhinweise nicht selten ihre Funktion, betroffene Personen in einfacher, angemessener und transparenter Weise über Datenverarbeitungsabläufe zu informieren. Wie wichtig dabei die Wahl der richtigen Sprache ist, hat sich kürzlich in den Niederlanden gezeigt: Aufgrund einer fehlenden Übersetzung von Datenschutzhinweisen […]
LAG Hamm: 1000 Euro Schmerzensgeld für verspätete und unvollständig erteilte Auskunft nach Art. 15 DSGVO
Die 6. Kammer am Landesarbeitsgericht Hamm (LAG) sprach in ihrer Entscheidung vom 11. Mai 2021 der Klägerin, einer gekündigten Mitarbeiterin, ein Schmerzensgeld in Höhe von 1000 Euro zu. Vorliegend stellten die Vorsitzenden fest, dass ein Schmerzensgeldanspruch nach Art. 82 DSGVO dann bestehe, wenn ein Auskunftsersuchen gem. Art. 15 DSGVO nicht rechtzeitig innerhalb der in Art. […]
Behördlicher Datenschutzbeauftragter
Seit dem Inkrafttreten der DSGVO am 25.05.2018 gelten für die Bestellung eines behördlichen Datenschutzbeauftragten die gleichen Voraussetzungen wie für die Bestellung eines betrieblichen Datenschutzbeauftragten: Nach Art. 37 Abs. 1 lit. a DSGVO ist auch von Behörden und öffentlichen Stellen ein Datenschutzbeauftragter zu bestellen, wenn „die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit […]
Überwachung in der Studentenbude? – LfDI Baden-Württemberg bringt Handreichung zu Online-Prüfungen heraus
Pandemiebedingt waren die Hochschulen gezwungen, ihre Prüfungsmethoden zu überdenken. Ein voller Hörsaal oder gar eine angemietete Turnhalle voller Prüflinge sind in Zeiten der Pandemie nach wie vor undenkbar. Deshalb nutzen immer mehr Hochschulen die Möglichkeiten, Prüfungen online durchzuführen (wir berichteten). Dadurch können sich diese auch in Zukunft dank der Digitalisierung flexibler aufstellen und ggf. Raummiete […]
Denken Sie beim Carsharing ans Daten löschen?
Früher war zwar nicht alles besser, aber zumindest übersichtlicher. Beim guten alten Autoquartett (hach!) war klar: Ferrari sticht Opel; und in der Kneipe am Stammtisch war „Null-auf-Hundert“ Gegenstand regelmäßigen Wetteifers. Vom Stammtisch zur Schaltzentrale In der schönen neuen Automobil-Welt heute überbieten sich die Hersteller von Fahrzeugen hingegen mit Anpreisungen modernster Unterhaltungselektronik und sogenannter Connectivity-Lösungen. Die […]
Manipulative Cookie-Banner: Die NGO noyb reicht Beschwerden bei zehn Aufsichtsbehörden ein
Die NGO „None of your business“ (noyb) um den österreichischen Datenschutzaktivisten Max Schrems hat in 422 Fällen Beschwerde bzgl. manipulativer Cookie-Banner bei zehn Datenschutzbehörden eingelegt, die nach Ansicht von noyb gegen die Datenschutz-Grundverordnung verstoßen. Dies teilte noyb am 10. August 2021 in einem Beitrag auf ihrer Webseite mit. Vorausgegangen waren Beschwerden bei mehr als 500 […]
Dürfen Vermieter die Handynummer von Mietern an Handwerksunternehmen weitergeben?
Ausgangslage In seinem Tätigkeitsbericht zum Jahr 2020 berichtet das Bayerische Landesamt für Datenschutz (BayLDA) über regelmäßige Beschwerden von Mieterinnen und Mietern, deren Kontaktdaten, wie Handynummer oder E-Mail-Adresse, von der vermietenden Person einem Handwerksunternehmen mitgeteilt wurden. Zwar lag der Weitergabe an das jeweilige Unternehmen immer der Zweck zugrunde, einen Termin für Reparaturen am/im Mietobjekt abzustimmen. Dennoch […]
Mehr Datenschutz bei Apple? Die Schlange mit zwei, drei, vier… Köpfen
Dieser Artikel sollte sich eigentlich nur mit den datenschutzrechtlichen Neuerungen der nächsten Versionen der Betriebssysteme MacOS und iOS beschäftigen. Allerdings lässt sich darüber angesichts der jüngsten Informationen über das von Apple auf den iPhones zum Einsatz kommende Scannen von Fotos zur Entdeckung von Kinderpornografie kaum noch unbefangen schreiben. Denn dieser „Sündenfall“, wie er von Kommentatoren […]
Notfallmanagement – jetzt weiterentwickeln
Das Notfallmanagement, auch Business Continuity Management (BCM) genannt, ist nicht nur seit vielen Jahren fester Bestandteil des IT-Grundschutzes, sondern aufgrund aktueller Herausforderungen und Neuerungen auch ein Thema, mit dem sich Unternehmen und Organisationen beschäftigen sollten. Im Folgenden erfahren Sie mehr zum neuen BSI-Standard 200-4 und welche Synergien Sie bei der Weiterentwicklung Ihres Notfallmanagements nutzen können. […]
Fehlerversand von 13.000 Datensätzen mit Impftermindetails in Essen
Laut Medienberichten verschickte die Stadt Essen vor wenigen Tagen auf Grund eines internen Versehens eine Liste mit teils sensiblen Daten von 13.000 Bürgerinnen und Bürgern an rund 700 Personen aus der Stadt und verursachte somit eine große Datenschutzverletzung im Sinne von Art. 33 Abs. 1 DSGVO. Diese „Datenpanne“ wurde ausgelöst als rund 700 Personen, die […]
Keine Datenverarbeitung zu Lobbyingzwecken ohne Information der Betroffenen
Bußgeld gegen Monsanto: Die CNIL, die französische Datenschutzaufsichtsbehörde, hat Ende Juli gegen die Firma Monsanto Company, eine Firma der Bayer Gruppe, ein Bußgeld in Höhe von 400.000 Euro verhängt. Grund dieser Entscheidung ist der Verstoß gegen die Informationspflicht nach Art. 14 DSGVO und der fehlende Abschluss eines Auftragsverarbeitungsvertrages. Ausgangslage – die verhängnisvolle Datei In den […]