In Art. 4 Nr. 8 DSGVO wird ein Auftragsverarbeiter definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Dabei ist sicherzustellen, dass der zwischen einem datenschutzrechtlich Verantwortlichen und einem Auftragsverarbeiter zu schließende Auftragsverarbeitungsvertrag (AVV) Regelungen zur Weisungsgebundenheit enthält: Nach Art. 28 Abs. 3 S. […]
TOM
DSGVO: Auskunft auch zu den TOMs?
Das Auskunftsrecht nach Art. 15 DSGVO nimmt eine bedeutende Rolle im Datenschutzrecht ein – und erfreut sich seit einigen Jahren zunehmender Beliebtheit. Dabei bestehen trotz oder gerade wegen der umfangreichen Rechtsprechungen weiterhin Unklarheiten zur Reichweite dieses Betroffenenrechts. So kann die von der Datenverarbeitung betroffene Person vom Verantwortlichen die Auskunft über die in Art. 15. Abs. […]
„Hätte, könnte, würde“ führt nicht zu Schmerzensgeld
Wie fühlen Sie sich? Diese Frage ist manchmal nicht einfach zu beantworten. Im Kontext des Datenschutzes wurde bei einem Kontrollverlust über die eigenen Daten gerne einmal ein Unwohlsein von betroffenen Personen ins Feld geführt, um einen Anspruch auf Schmerzensgeld zu begründen. Dazu hatte sich der EuGH bereits in der Vergangenheit kritisch geäußert. Nun äußerte sich […]
Verschlüsseln, nicht festschrauben!
Das Sommerloch wird in diesem Jahr von einigen unterhaltsamen (nicht immer datenschutzrelevanten) Gerichtsurteilen gefüllt. Mein persönlicher Favorit war bisher der Fall eines jungen Mannes, der fristlos gekündigt werden sollte, weil er auf einer Firmenfeier, die auf einem Boot stattfand, nur mit Unterhose bekleidet in den Rhein gesprungen war (mehr zu diesem Fall lesen Sie hier). […]
Security Scans: Der erste Schritt zu mehr IT-Sicherheit
In diesem Artikel werfen wir einen Blick auf ein technisches Werkzeug aus der Informationssicherheit. Den Security Scan bzw. Schwachstellenscan (Vulnerability Scan). Obwohl Schwachstellenscanner für alle möglichen Anwendungsbereiche zur Verfügung stehen, fokussiert sich dieser Artikel auf den häufigsten Anwendungsfall in diesem Kontext: Security Scans für extern erreichbare Systeme. Extern erreichbare Systeme Über das Internet erreichbare Systeme […]
Laptops ohne Festplattenverschlüsselung sind ein Bußgeldrisiko
In vielen Berufszweigen ist er mittlerweile nicht mehr wegzudenken, der Laptop. Ermöglicht er doch dank Internet und Techniken wie VPN & Co. das Arbeiten von Zuhause, aus der Bahn oder dem Hotel. Durch die gestiegene Flexibilität bei den Arbeitsorten und den Arbeitszeiten steigt aber gleichzeitig das Risiko, dass das Notebook in unbefugte Hände gerät, geklaut […]
Die Tücken der Transportverschlüsselung in TOMs
Im Zusammenhang mit geeigneten technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 Abs. 1 lit. a und lit. b DSGVO wird regelmäßig die Transportverschlüsselung eingesetzt. Dieser Artikel beleuchtet aus der Perspektive der Informationssicherheit, was darunter zu verstehen ist und wo die Tücken in der datenschutzrechtlichen Bewertung liegen. Vertraulichkeit und Integrität: Schutzziele der Informationssicherheit Informationssicherheit hat […]
Der Postsack und die DSGVO
Immer wieder ergehen Urteile zum Datenschutzrecht, die etwas aus dem Rahmen fallen und für den geneigten Leser etwas zum Schmunzeln sein könnten. In unserem Nachbarland Österreich wurde vor wenigen Wochen vom Bundesverwaltungsgericht Wien (Urteil vom 22.12.2020, Az.: W258 2225293-1/6E) eine Entscheidung getroffen, die wegen ihrer grundlegenden Bedeutung für das europäische Datenschutzrecht eine besondere Erwähnung verdient. […]
Ist das angemessene Schutzniveau nach Art. 32 DSGVO (nun doch) abbedingbar?
Nach Art. 32 DSGVO ist jeder Verantwortliche und Auftragsverarbeiter dazu verpflichtet technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Bei der Auswahl der geeigneten Maßnahmen hat der Verantwortliche oder Auftragsverarbeiter hierbei insbesondere die Art, den Umfang und die Zwecke der Verarbeitung zu berücksichtigen. Auch gilt es […]
Darf der Arzt dem Patienten den Befund per E-Mail zusenden?
Oder: Ist die Einwilligung in eine unsichere Datenverarbeitung trotz Art. 32 DSGVO denkbar? Schon seit vielen Jahren beschäftigten sich die Datenschützer mit der Diskussion, ob die Anforderungen an die technisch-organisatorischen Maßnahmen (TOM) aus Art. 32 DSGVO auf Grundlage der Einwilligung des Betroffenen ihm gegenüber abgesenkt werden können. Sieht es die DSGVO überhaupt vor, dass ein […]
Unerwünschte Anrufe Episode III – italienischer Telefonkonzern WIND Tre muss 17,8 Mio. Euro Bußgeld bezahlen
Das Imperium schlägt (schon wieder) zurück Die fleißige italienische Aufsichtsbehörde in Rom hat einen weiteren Fall von wildem, bzw. nicht datenschutzkonformen Telemarketing erfolgreich abgearbeitet. Zum Thema berichteten wir bereits von zwei Fällen: ENI SpA und TIM SpA. Dieses Mal wurde ein Bußgeld in Höhe von 17,8 Millionen Euro mit „Ordinanza di ingiunzione“ vom 09.07.2020 von […]
Die Tücken der Blockchiffren in TOMs
In der Beschreibung von technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 Abs. 1 lit. a DSGVO liest man oft den Namen der verwendeten Blockchiffren, mit deren Hilfe durch Verschlüsselung das Schutzziel der Vertraulichkeit gewährleistet wird. Blockchiffren sind Algorithmen, die aus einem Block Klartext einen Block Ciphertext erzeugen. Dafür empfohlene Algorithmen finden sich in der Technischen […]
Backup und Datensicherung – unverzichtbar
Bei einem Hacker-Angriff in der letzten Woche wurden sämtliche Kundendaten eines großen US-amerikanischen E-Mail-Anbieters vernichtet. VFEMail ist ein Provider, der seit 2001 damit wirbt, E-Mail für die Massen sicher zu machen. Anfang letzter Woche ist das Unternehmen nun zur Zielscheibe eines fatalen Hacker-Angriffs geworden. Die Angreifer konnten dabei in die Server des Unternehmens eindringen und löschten die […]
TOM und die Datenschutzgrundverordnung
In der Fachzeitschrift Datenschutz und Datensicherheit (DuD 3/2018, Seite 174 – 177) geht unser Mitarbeiter Thomas Wennemann auf die Neuerungen der Datenschutz-Grundverordnung (DSGVO) zum Thema technische und organisatorische Maßnahmen (TOM) ein. Neben einer Beschreibung der Anforderungen der DSGVO an zu treffende TOM wird ein möglicher Lösungsansatz für eine risikoorientierte Betrachtung zur Ermittlung der erforderlichen TOM […]
Are companies ready to deal with a high level of scrutiny? – Lessons learned from the Morrisons Case
The purpose of this article is to summarize the lessons that a company can learn from the Morrisons Case with regard to the level of protection that can be considered as “sufficient” and “adequate” for the protection of the personal data of their employees. [1] In our daily practice, our clients are more often than […]