Das Sommerloch wird in diesem Jahr von einigen unterhaltsamen (nicht immer datenschutzrelevanten) Gerichtsurteilen gefüllt. Mein persönlicher Favorit war bisher der Fall eines jungen Mannes, der fristlos gekündigt werden sollte, weil er auf einer Firmenfeier, die auf einem Boot stattfand, nur mit Unterhose bekleidet in den Rhein gesprungen war (mehr zu diesem Fall lesen Sie hier). […]
TOM

Security Scans: Der erste Schritt zu mehr IT-Sicherheit
In diesem Artikel werfen wir einen Blick auf ein technisches Werkzeug aus der Informationssicherheit. Den Security Scan bzw. Schwachstellenscan (Vulnerability Scan). Obwohl Schwachstellenscanner für alle möglichen Anwendungsbereiche zur Verfügung stehen, fokussiert sich dieser Artikel auf den häufigsten Anwendungsfall in diesem Kontext: Security Scans für extern erreichbare Systeme. Extern erreichbare Systeme Über das Internet erreichbare Systeme […]

Laptops ohne Festplattenverschlüsselung sind ein Bußgeldrisiko
In vielen Berufszweigen ist er mittlerweile nicht mehr wegzudenken, der Laptop. Ermöglicht er doch dank Internet und Techniken wie VPN & Co. das Arbeiten von Zuhause, aus der Bahn oder dem Hotel. Durch die gestiegene Flexibilität bei den Arbeitsorten und den Arbeitszeiten steigt aber gleichzeitig das Risiko, dass das Notebook in unbefugte Hände gerät, geklaut […]

Die Tücken der Transportverschlüsselung in TOMs
Im Zusammenhang mit geeigneten technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 Abs. 1 lit. a und lit. b DSGVO wird regelmäßig die Transportverschlüsselung eingesetzt. Dieser Artikel beleuchtet aus der Perspektive der Informationssicherheit, was darunter zu verstehen ist und wo die Tücken in der datenschutzrechtlichen Bewertung liegen. Vertraulichkeit und Integrität: Schutzziele der Informationssicherheit Informationssicherheit hat […]

Der Postsack und die DSGVO
Immer wieder ergehen Urteile zum Datenschutzrecht, die etwas aus dem Rahmen fallen und für den geneigten Leser etwas zum Schmunzeln sein könnten. In unserem Nachbarland Österreich wurde vor wenigen Wochen vom Bundesverwaltungsgericht Wien (Urteil vom 22.12.2020, Az.: W258 2225293-1/6E) eine Entscheidung getroffen, die wegen ihrer grundlegenden Bedeutung für das europäische Datenschutzrecht eine besondere Erwähnung verdient. […]
Ist das angemessene Schutzniveau nach Art. 32 DSGVO (nun doch) abbedingbar?
Nach Art. 32 DSGVO ist jeder Verantwortliche und Auftragsverarbeiter dazu verpflichtet technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Bei der Auswahl der geeigneten Maßnahmen hat der Verantwortliche oder Auftragsverarbeiter hierbei insbesondere die Art, den Umfang und die Zwecke der Verarbeitung zu berücksichtigen. Auch gilt es […]
Darf der Arzt dem Patienten den Befund per E-Mail zusenden?
Oder: Ist die Einwilligung in eine unsichere Datenverarbeitung trotz Art. 32 DSGVO denkbar? Schon seit vielen Jahren beschäftigten sich die Datenschützer mit der Diskussion, ob die Anforderungen an die technisch-organisatorischen Maßnahmen (TOM) aus Art. 32 DSGVO auf Grundlage der Einwilligung des Betroffenen ihm gegenüber abgesenkt werden können. Sieht es die DSGVO überhaupt vor, dass ein […]
Unerwünschte Anrufe Episode III – italienischer Telefonkonzern WIND Tre muss 17,8 Mio. Euro Bußgeld bezahlen
Das Imperium schlägt (schon wieder) zurück Die fleißige italienische Aufsichtsbehörde in Rom hat einen weiteren Fall von wildem, bzw. nicht datenschutzkonformen Telemarketing erfolgreich abgearbeitet. Zum Thema berichteten wir bereits von zwei Fällen: ENI SpA und TIM SpA. Dieses Mal wurde ein Bußgeld in Höhe von 17,8 Millionen Euro mit „Ordinanza di ingiunzione“ vom 09.07.2020 von […]
Die Tücken der Blockchiffren in TOMs
In der Beschreibung von technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 Abs. 1 lit. a DSGVO liest man oft den Namen der verwendeten Blockchiffren, mit deren Hilfe durch Verschlüsselung das Schutzziel der Vertraulichkeit gewährleistet wird. Blockchiffren sind Algorithmen, die aus einem Block Klartext einen Block Ciphertext erzeugen. Dafür empfohlene Algorithmen finden sich in der Technischen […]
Backup und Datensicherung – unverzichtbar
Bei einem Hacker-Angriff in der letzten Woche wurden sämtliche Kundendaten eines großen US-amerikanischen E-Mail-Anbieters vernichtet. VFEMail ist ein Provider, der seit 2001 damit wirbt, E-Mail für die Massen sicher zu machen. Anfang letzter Woche ist das Unternehmen nun zur Zielscheibe eines fatalen Hacker-Angriffs geworden. Die Angreifer konnten dabei in die Server des Unternehmens eindringen und löschten die […]
TOM und die Datenschutzgrundverordnung
In der Fachzeitschrift Datenschutz und Datensicherheit (DuD 3/2018, Seite 174 – 177) geht unser Mitarbeiter Thomas Wennemann auf die Neuerungen der Datenschutz-Grundverordnung (DSGVO) zum Thema technische und organisatorische Maßnahmen (TOM) ein. Neben einer Beschreibung der Anforderungen der DSGVO an zu treffende TOM wird ein möglicher Lösungsansatz für eine risikoorientierte Betrachtung zur Ermittlung der erforderlichen TOM […]
Are companies ready to deal with a high level of scrutiny? – Lessons learned from the Morrisons Case
The purpose of this article is to summarize the lessons that a company can learn from the Morrisons Case with regard to the level of protection that can be considered as “sufficient” and “adequate” for the protection of the personal data of their employees. [1] In our daily practice, our clients are more often than […]
Neue Herausforderungen für Webseitenbetreiber
Im Sommer wurde viel über das IT-Sicherheitsgesetz diskutiert, doch scheinbar ist nur wenigen Lesern aufgefallen, dass es auch eine Änderung im TMG gegeben hat, die alle Betreiber von Webseiten betrifft. In §13 „Pflichten des Diensteanbieters“ wurde ein neuer 7. Absatz eingefügt: (7) Diensteanbieter haben (…) durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff […]
Speicherung von IP-Adressen zur Gefahrenabwehr zulässig?
Es sollte hinlänglich bekannt sein, dass die Protokollierung und kurzfristige (bis zu sieben Tage) Speicherung von IP-Adressen zur Abwehr von Angriffen sowie zum Erkennen, Eingrenzen oder Beseitigen von Störungen unter kontrollierten Bedingungen für einen Zeitraum von sieben Tagen in ungekürzter Form für Access-Provider zulässig ist (vergl. BGH, Urteil vom 3. Juli 2014, AZ: III ZR […]
Zugriffskontrolle: Es werden Passwörter verwendet – 10.000 Euro Bußgeld!
Wer so oder ähnlich die technisch-organisatorischen Sicherheitsmaßnahmen in Verträgen zur Auftragsdatenverarbeitung gem. § 11 Bundesdatenschutzgesetz beschreibt, muss – zumindest in Bayern – künftig mit hohen Bußgeldern rechnen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat laut einer kürzlich erschienenen Pressemitteilung bekannt gegeben, dass ein Unternehmen in Bayern mit einem fünfstelligen Bußgeld belangt wurde, weil es „in […]