Die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) ist aufgrund des Umfangs der hierfür notwendigen Kapazitäten sowie der Notwendigkeit der Zusammenarbeit der verschiedenen Disziplinen eine große Herausforderung für die meisten Verantwortlichen. In diesem dritten Beitrag wird der Fokus auf die finale Risikoermittlung gelegt. In den vorherigen Beiträgen wurde bereits die Ermittlung der einzelnen Risikoszenarien als Bruttorisiko sowie die […]
BayLfD
Datenschutz-Folgenabschätzung – Risikobeurteilung Teil 2 – technische und organisatorische Maßnahmen (TOM)
Da die Datenschutz-Folgenabschätzung (DSFA) die Beteiligten im Unternehmen regelmäßig vor nicht unerhebliche Herausforderungen stellt, soll in diesem zweiten Beitrag der Schwerpunkt auf die Erfassung der technischen und organisatorischen Maßnahmen (TOM) gelegt werden. In einem vorangegangenen Beitrag zur DSFA wurde bereits die Ermittlung des Bruttorisikos etwaiger Risikoszenarien beleuchtet, unter Rückgriff auf die Unterlagen zur DSFA des […]
Datenschutz-Folgenabschätzung – Risikobeurteilung Teil 1 – Bruttorisiko
Die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) ist die umfangreichste und detaillierteste Dokumentation, die das Datenschutzrecht verlangt. Aufgrund des Umfangs der hier geforderten Inhalte und der vorzunehmenden Risikobeurteilung ist eine DSFA für die meisten Verantwortlichen eine große Herausforderung. In diesem und zwei nachfolgenden Beiträgen steht die Risikobeurteilung im Vordergrund, die ein Teil der DSFA ist. Die Beitragsreihe […]
Kommunales Verkehrsunternehmen: Private oder öffentliche Stelle?
Das Verwaltungsgericht (VG) München stellte in seinem Urteil vom 12.02.2025 (Az.: M 7 K 22.4558) fest, welche Datenschutz-Aufsichtsbehörde für ein kommunales Verkehrsunternehmen zuständig ist. Das hier betroffene Unternehmen tritt zwar in privater Rechtsform auf, sei aber als öffentliche Stelle im Sinne des Bayerischen Datenschutzgesetzes (BayDSG) anzusehen. Hintergrund Die Klägerin, ein kommunaler Verkehrsbetrieb in Form einer […]
Hackerangriffe und TOMs: Eine Handlungsempfehlung des BayLfD für öffentliche Stellen – Teil 2
Nachdem im ersten Teil dieser Beitragsreihe die Meldung der Hackerangriffe als Datenschutzverletzung behandelt wurde, betrachten wir heute die nach einem Hackerangriff zu ergreifenden technisch-organisatorischen Maßnahmen (TOMs) sowie weitere gesetzliche Mitteilungspflichten, die etwaig zu beachten sind und die der BayLfD in seinen Kurz-Mitteilungen 57 „Strafanzeige als technisch-organisatorische Maßnahme nach Hackerangriff?“ und 58 „Meldung nach Art. 33 […]
Hackerangriffe und Datenschutzverletzung: Eine Handlungsempfehlung des BayLfD für öffentliche Stellen – Teil 1
In einer derart dynamischen, weitestgehend digitalisierten Welt, wie wir sie heutzutage wahrnehmen, rückt der Themenkomplex Cyberkriminalität und IT-Sicherheit immer weiter in den Vordergrund. Wer in den letzten Wochen die Berichterstattungen verfolgt hat, konnte vor allem folgende Stichworte lesen: Cyberattacken und Hackerangriffe. Die nachfolgende Beitragsreihe greift das Thema Hackerangriffe und Datenschutzverletzungen auf und ordnet das Phänomen […]
Dürfen Masernschutz-Atteste von Schulen an Gesundheitsämter weitergegeben werden?
Wir haben uns bereits mit den datenschutzrechtlichen Anforderungen der Masern-Impfpflicht befasst. Der jüngst erschienene 33. Tätigkeitsbericht der Bayerischen Aufsichtsbehörde für den Datenschutz widmete sich u. a. mehreren Beschwerden zur Weitergabe ärztlicher Atteste von Schulen an Gesundheitsämter im Zusammenhang mit Masernschutzimpfungen (www.datenschutz-bayern.de/tbs/tb33/k8.html#8.2). Anlass für eine Beschwerde von Eltern war in einem Fall, dass die Erziehungsberechtigten für ihren […]
Gemeinsame Verantwortlichkeit nach DSGVO – neue Orientierungshilfe des BayLfD
Wie sich aus Art. 26 der Datenschutz-Grundverordnung (DSGVO) ergibt, ist die gemeinsame Verantwortlichkeit immer dann einschlägig, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Auch wenn die Rechtsvorschrift wohl jedem Datenschützer bekannt sein wird, ist davon auszugehen, dass der Umgang damit weitaus weniger vertraut ist, als bspw. mit […]
Veröffentlichung von Alters- und Ehejubiläen in Amtsblättern
In einem schon länger zurückliegenden Beitrag haben wir bereits über die Rechtmäßigkeit der Datenübermittlung von Meldebehörden an öffentliche Stellen zur anschließenden Gratulation der Bürgerinnen und Bürgern zu Alters- und Ehejubiläen berichtet. Nun nehmen wir den aktuellen Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg zum Anlass, uns einmal mit der aktuellen Situation […]
Datenschutz bei Rechtschreibkorrekturen im Webbrowser
In seiner Kurz-Information 48 vom 01.07.2023 erläutert der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) die datenschutzrechtlichen Probleme beim Einsatz von Rechtschreibkorrekturfunktionen in Webbrowsern. Als Ausgangslage skizziert der BayLfD den Digitalisierungsprozess in bayerischen öffentlichen Stellen: Webbrowser werden nicht mehr nur für die Internetrecherche genutzt, sondern kommen auch dort zum Einsatz, wo lokal auf dem Computer installierte […]
Zur Ausgestaltung von Entgelten in Auftragsverarbeitungsverträgen für bayerische öffentliche Stellen
In Verträgen zur Auftragsverarbeitung sind die in Art. 28 DSGVO normierten Regelungen umzusetzen. Es obliegt dem Verantwortlichen, im Rahmen von Kontrollen beim Auftragsverarbeiter sicherzustellen, dass die Datenverarbeitung beim Auftragsverarbeiter in zulässiger Weise erfolgt. Art. 28 Abs. 3 lit. h DSGVO verpflichtet den Auftragsverarbeiter, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem […]
„EASy GS“ – Fußball-Fans unter Generalverdacht?
Nachdem in letzter Zeit viel über den Impfstatus von Profi-Fußballern diskutiert wurde (wir berichteten), ist ein weiteres (datenschutzrechtliches) Fußball-Thema, das nicht die Spieler, sondern die Fans von Vereinen betrifft, leider aus dem Fokus gerückt. EASy GS – Bayern sammelt eigenmächtig Fandaten Im August berichtete das bekannte Sportmagazin „Kicker“ über eine Datenbank des Bayerischen Landeskriminalamts mit […]