Oder: Ist die Einwilligung in eine unsichere Datenverarbeitung trotz Art. 32 DSGVO denkbar? Schon seit vielen Jahren beschäftigten sich die Datenschützer mit der Diskussion, ob die Anforderungen an die technisch-organisatorischen Maßnahmen (TOM) aus Art. 32 DSGVO auf Grundlage der Einwilligung des Betroffenen ihm gegenüber abgesenkt werden können. Sieht es die DSGVO überhaupt vor, dass ein […]
iBorderCtrl und ein Exit-Entry-System der EU
Die EU will ihre Außengrenzen besser schützen. Dazu soll in den nächsten Jahren (im Raum stehen 2022 oder 2023) ein Ein-/Ausreisesystem (Exit-Entry-System = EES) eingesetzt werden. Durch das EES werden Stammdaten der Einreisenden aus Drittländern wie z. B. Name und Geburtsdatum erhoben. Darüber hinaus sollen auch biometrische Daten wie Fingerabdrücke und Lichtbilder gespeichert werden. Außerdem […]
Corona-Schnelltests in Schulen – Datenschutz nicht vergessen!
Mittlerweile haben viele Bundesländer Regelungen zum Testen der Schülerinnen und Schüler („SuS“) auf eine mögliche Infektion mit Covid 19 eingeführt. Diese unterscheiden sich teilweise deutlich voneinander: Niedersachsen, Bremen, Hamburg und Nordrhein-Westfalen zum Beispiel haben für den Schulbesuch eine Testpflicht in den Schulen eingeführt, in anderen Bundesländern wie z.B. Mecklenburg-Vorpommern wiederum erfolgen die Tests auf freiwilliger […]
Das KDG auf dem Prüfstand
Gut versteckt im letzten Absatz des Gesetz über den Kirchlichen Datenschutz (KDG) ist geregelt, dass das Gesetz innerhalb von drei Jahren ab Inkrafttreten überprüft werden soll. Eine solche Evaluation ist sicherlich sinnvoll und die Erfahrungen der letzten Jahre machten einen bestehenden Verbesserungsbedarf deutlich. Bevor wir näher hierauf eingehen und zu entsprechenden Verbesserungsvorschlägen kommen, noch kurz […]
Kostenfalle Auskunftsrecht
Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat in einem Rundschreiben seine Mitglieder vor missbräuchlichen Auskunftsanfragen gewarnt. Darin werden zwei Szenarien beschrieben: Bitte um Rückruf über Kontaktformular Über ein Kontaktformular wird unter Angabe einer Telefonnummer um Rückruf gebeten. Versucht man zurückzurufen, meldet sich niemand. Etwas später fragt eine Person an, welche Daten vom Unternehmen […]
Bundesarbeitsgericht urteilt: (K)ein Recht auf umfassende Datenkopie von Arbeitsmails
Die Datenschutz-Grundverordnung (DSGVO) gewährt den von einer Datenverarbeitung betroffenen Personen umfassende Rechte. Betroffenen stehen nach Art. 12 ff. DSGVO unter anderem umfangreiche Auskunfts-, Berichtigungs- und Löschansprüche zu. Auf diese Rechte können sich auch Beschäftigte berufen, wenn der Arbeitgeber als Verantwortlicher, im datenschutzrechtlichen Sinne, ihre Daten verarbeitet. Hierzu gehört auch das Recht auf Erhalt einer Kopie […]
Videokonferenzen an Schulen – Hamburg schafft eine gesetzliche Regelung
Die COVID 19-Pandemie hat weiterhin erheblichen Einfluss auf unseren Alltag und für Heranwachsende insbesondere auf den Schulbetrieb. Da nach aktuellem Stand Schulschließungen bei einer Inzidenz von 165 pro 100.00 Einwohnern per Bundesgesetz angeordnet werden, sind aufgrund der andauernden dritten Welle der Pandemie weitere Schulschließungen wahrscheinlich. Um den Unterrichtsbetrieb auch in dieser Zeit aufrecht erhalten zu […]
Was ist ein Penetrationstest?
Das etwas sperrige Wort Penetrationstest (abgekürzt als Pentest) bezeichnet die legitimierte Überprüfung der Sicherheit eines IT-Systems aus der Perspektive eines Angreifers (umgangssprachlich oft als Hacker bezeichnet). Bei einem solchen Test werden ähnliche oder sogar die gleichen Methoden und Tools eingesetzt, die sich auch Hacker zunutze machen. Ein Penetrationstest stellt dabei immer nur eine Momentaufnahme dar. […]
Angemessenheitsbeschluss für die Republik Korea
Bereits im Januar 2017 teilte die europäische Kommission dem europäischen Parlament und dem Rat mit, Beratungen über Angemessenheitsbeschlüsse für die wichtigsten Handelspartner in Ost- und Südostasien beginnend mit Japan und der Republik Korea einzuleiten. Für Japan besteht bereits ein Angemessenheitsbeschluss. Nunmehr ist es auch offiziell: Künftig wird die Datenübermittlung von EU-Staaten in das Land von […]
Sicheres Cloud Computing für Unternehmen
Für die sichere Cloud-Nutzung sollte Informationssicherheit beginnend bei der IT-Strategie bis zum letztendlichen Vertragsabschluss berücksichtig werden. Dazu kann sich z. B. an der Vorgehensweise der Veröffentlichung „Sichere Nutzung von Cloud-Diensten“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert werden. Ähnlich wie die Verankerung der Informationssicherheit in einem Unternehmen, bspw. durch die Etablierung eines ISMS […]
Bremen veröffentlicht neue Blacklist für Datenschutz-Folgenabschätzungen
Gemäß Art. 35 Abs. 4 DSGVO haben die Aufsichtsbehörden eine Liste von Verarbeitungstätigkeiten zu veröffentlichen, für die stets eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist. Die verschiedenen Landesbehörden sind dieser Aufgabe größtenteils schon im Jahr 2018 nachgekommen und auch die DSK hat dazu bereits eine Liste veröffentlicht. Unsere Übersicht dazu finden Sie hier. Auch die Bremische Landesbeauftragte […]
Blacklists Deutscher Aufsichtsbehörden – ein Update
Bereits im Sommer 2018 legten einzelne Aufsichtsbehörden sog. Blacklists vor. In diesen Listen sind Datenverarbeitungsverfahren aufgeführt, für die zwingend eine Datenschutz-Folgenabschätzung erforderlich ist (wir berichteten). Denn sobald die Rechte und Freiheiten von Personen durch eine Datenverarbeitung einem hohen Risiko ausgesetzt sind, ist vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen. Dies regelt Art. 35 DSGVO. Wann ist […]
Delay in reporting a data breach caused a fine of over €400,000 to Booking.com.
The Dutch Data Protection Authority has recently issued a fine of €475,000 to the online touristic operator Booking.com for having notified a data breach to the DPA with a sensible delay. The data breach The staff of about 40 Hotels located in the United Arab Emirates were cheated by a telephone scam and convinced to […]
Vermehrt Bußgelder aufgrund verspätetet gemeldeter Datenpannen
In letzter Zeit häufen sich die bekannt gewordenen Bußgelder aufgrund zu spät gemeldeter Datenpannen. Vor kurzem wurde nun auch ein Bußgeld gegen Booking.com i.H.v. 475.000€ publik. Dieses wurde verhängt, da es Cyberkriminellen Anfang 2019 gelang, über 4000 Kundendatensätze mit Namen, Adressen, Telefonnummern und in knapp 300 Fällen auch Kreditkarteninformationen vom Betreiber zu stehlen. Neben den […]
Beschäftigtendaten sind kein Freiwild
Das Landesarbeitsgericht Baden-Württemberg hat sich in einem seiner letzten Urteile mit dem Datenschutz im Beschäftigtenverhältnis auseinandergesetzt. Dabei riss es verschiedene Themen an: Nutzung von Beschäftigtendaten im Testsystem Betriebsvereinbarung als Rechtsgrundlage der Datenverarbeitung Datentransfer vor Gültigkeit der DSGVO in die USA Abschluss von Standardvertragsklauseln vor Gültigkeit der DSGVO und deren Weitergeltung nach der Gültigkeit der DSGGVO […]