Gestaltung und Umgang mit Passwörtern
BSI ändert seine Meinung

Selten, aber es geschieht: Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat seine Meinung geändert, fordert keine ständigen Passwortwechsel mehr.
Das National Institute of Standards and Technology (NIST, US-Behörde) revidierte diese Ansicht bereits 2017 mit folgenden Ratschlägen:
•    Passwörter müssen geheim gehalten werden (Zettel mit den Passwörtern an Bildschirmen ...

Online-Bewerbungen und …
… Datenschutz

Es gibt einiges zu beachten:
Vielfach wird gefordert, Übertragungswege zu verschlüsseln
Ist auf der Unternehmens-Webseite ein eigener Bereich eingerichtet, sollte dieser nach dem aktuellen Stand der Technik verschlüsselt sein.
Für Bewerbungen per E-Mail, sollte es dem Bewerber möglich sein, seine Unterlagen vertraulich zu übermitteln. Zu diesem Zweck sollte neben der E-Mail-Adresse auch der öffentliche Schlüssel benannt werden.

Behördenanfragen – wie verhalte ich mich richtig

Sämtliche Mitarbeiter sind zu instruieren, dass ausschließlich die Geschäftsleitung über die Herausgabe von Daten entscheidet und dies nur auf Grund einer schriftlichen Anfrage (mindestens also E-Mail).
Unter keinen Umständen dürfen Mitarbeiter telefonische Anfragen beantworten. Besondere Achtung ist bei Ausübung von (zeitlichem) Druck (Strafandrohungen etc.) geboten; der Anrufer ist auf den Datenschutz zu verweisen und soll ...

LfD Niedersachsen: Durchwachsene Bilanz bei Prüfung von Unternehmen

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, informierte über eine branchenübergreifende Prüfung von 50 Unternehmen, zu der sie nun ihren Abschlussbericht vorgelegt hat.  Die Umsetzung der DS-GVO gelinge niedersächsischen Unternehmen bisher nur teilweise.

LfDI Rheinland-Pfalz: Geldbuße wegen Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Prof. Dr. Dieter Kugelmann, hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße von € 105.000,00 verhängt und gleichzeitig festgestellt, dass das Krankenhaus bemüht war Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Bußgeldknaller zum Jahresende

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Mio. Euro mit dem Vorwurf, keine hinreichenden technischen und organisatorischen Maßnahmen (TOM) ergriffen zu haben, um telefonische Anrufer sicher zu authentifizieren.

Ein Klopfer zum Jahresabschluss

Es rumort schon länger, nun hat unsere Datenschutzkonferenz des Bundes und der Länder (kurz DSK) ein Prüfschema herausgegeben, wie wir Windows 10 bewerten können. Nützt dann aber offensichtlich nichts. Die Nutzer sollen eigenständig die Einhaltung der rechtlichen Vorgaben der DSGVO in ihrem konkreten Fall prüfen und – ebenfalls sehr wichtig - dokumentieren.

Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand

Wie ist die Datenschutz-Grundverordnung (DS-GVO) in Bezug auf den unverschlüsselten Versand von E-Mails zu interpretieren? E-Mails enthalten zusätzlich zu den Inhaltsdaten (d.h. dem Text der Mail und etwaigen Anhängen) auch Metadaten wie Absender und Empfänger, das Datum und den Betreff.

E-Scooter
Die Daten Fahren mit

Ein elementarer Bestandteil der Privatsphäre besteht darin, sich im öffentlichen Raum fortbewegen zu können, ohne dabei verfolgt zu werden. Wer auf die neuen Angebote von E-Scootern zurückgreift, verliert jedoch diesen Schutz. Diese neue Form urbaner Mobilität wird von vielen Anbietern nur unter einem erheblichen Eingriff in die Privatsphäre von Nutzern zur Verfügung gestellt.

Mehr als ein Knöllchen
Neues vom Bußgeldmarkt

Hohes Bußgeld gegen Immobiliengesellschaft
Am 30.10.2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, gegen die Deutsche Wohnen SE einen Bußgeldbescheid i. H. v. rd. € 14,5 Mio. wegen Verstößen gegen die DS-GVO erlassen.

Office 365, hoher Stellenwert, Verzicht kaum möglich

Fast schon naturgemäß: Datenschutz-rechtliche Bedenken
Das niederländische Ministerium für Justiz und Sicherheit hat zum Einsatz von Office 365 nacheinander zwei Datenschutz-Folgenabschätzung in Auftrag gegeben. Die – nach zwischenzeitlichen Verhandlungen- zweite Version, ist eine Bewertung der Office 365 ProPlus Version 1905 als Installation.

Das Berechtigungskonzept
Plage oder Notwendigkeit?

Ob Plage oder nicht, mag jeder für sich entscheiden. Das Berechtigungskonzept, also die schriftliche Fixierung, in welcher Funktion wer Zugangs-berechtigung zu welchen Daten mit Personenbezug hat, ist grundsätzlich unentbehrlich.
Die Einsicht ist nicht weit verbreitet.

Der EuGH hat gesprochen oder der Kekse-Klau zu Luxemburg

Ausdrückliche, aktive Einwilligung für Cookies erforderlich
Es stand zu befürchten, vor allem nach der – schlüssigen - Begründung des Schlussantrags des zuständigen Generalstaatsanwalts, der der EuGH dann auch tatsächlich und im Wesentlichen gefolgt ist. Der Europäische Gerichtshof (EuGH) hat entschieden, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung ...

Mitarbeiterschulung = Auftragsverarbeitung?

Wann muss ich einen datenschutzrechtlich konformen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen?

Mitarbeiter müssen im Datenschutz unterwiesen bzw. geschult werden.

Auch auf anderen Gebieten müssen oder sollen die Mitarbeiter geschult werden. 

Verarbeitung von Daten aus sozialen Medien

Öffentlich = frei zur beliebigen Verarbeitung?
Durch die vermehrte Nutzung digitaler Medien entstehen mehr und mehr Daten, die frei und öffentlich für jedermann zugänglich sind. Auch im Berufsfeld werden soziale Plattformen wie Xing oder Linkedln genutzt, um Kontakt mit Freunden, (ehemaligen) Kollegen oder Headhuntern herzustellen.

ISO 27701 als Lösung?

Wesentliche Inhalte sind die Anforderungen an ein Informationssicherheits-Management. ISO 27001 wird somit um Datenschutzaspekte erweitert.

Ausnahmen von den Informationspflichten der DSGVO

Die Transparenz ist ein Kernelement des nun nicht mehr so neuen Datenschutzes. Zentrales Element der Transparenz wiederum sind die Informationspflichten. Die Betroffenen sollen umfangreich über die Datenverarbeitung und ihre Rechte informiert werden.

Dementsprechend sind Ausnahmen rar gesät.

Gemeinsame Verantwortlichkeit mehrerer Datenverarbeiter

Sachverhalt:
Der EuGH hatte über eine Vorlage mit Fragen des OLG Düsseldorf in einem Rechtsstreit mit (verkürzt) folgendem Sachverhalt zu entscheiden. Die Fa. Fashion ID, ein Online-Händler für Modeartikel, band in ihre Website das Social Plugin „Gefällt mir“ des sozialen Netzwerks Facebook (im Folgenden: „Gefällt mir“-Button von Facebook) ein.

Matomo statt Google Analytics

Ein Vergleich kann lohnen
Mit einem Marktanteil von über 80 Prozent ist Google Analytics der Marktführer Nummer 1 unter den Web-Analyse-Diensten. Analytics ist kostenlos und liefert dennoch vielfältige und wertvolle Daten über die Performance einer Internetseite. Die Installation ist denkbar einfach gehalten. Ein kleiner Code-Schnipsel genügt und schon kann Analytics mit der Arbeit beginnen. Matomo ist eine Weiterentwicklung des mittlerweile eingestellten  „phpMyVisites“ ...

Auswirkungen der Videoüberwachung

Der Europäische Datenschutzausschuss (EDSA) hat am 10.07.2019 Leitlinien zum datenschutzkonformen Einsatz von Videoüberwachung beschlossen und zwischenzeitlich (zunächst in englischer Sprache) veröffentlicht.
Hier nun der Versuch einer Auswertung.

Achtung bei Ausweiskopien

In der Wirtschaft besteht häufig Unsicherheit darüber, wann das Personalausweis kopieren erlaubt ist und welche Daten aus Ausweisdokumenten gespeichert werden dürfen. Das Kopieren von Personalausweisen ist häufig Beschwerdegegenstand bei den Datenschutzaufsichtsbehörden. Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen (LDI NRW) gibt daher eine gelungene Übersicht über häufige Sachverhalte aus der Praxis. Wir fassen die wichtigsten Erkenntnisse und Fälle zusammen.

Neu: Das „Gesetz zum Schutz von Geschäftsgeheimnissen“, kurz GeschGehG?

Das Gesetz ist am 26.04.2019 in Kraft getreten und „dient dem Schutz von Geschäftsgeheimnissen vor unerlaubter Erlangung, Nutzung und Offenlegung“, (§ 1 Abs. 1 GeschGehG). Weitere Regelungen, beispielsweise berufs- und strafrechtliche Regelungen zum Schutz von Geschäftsgeheimnissen, deren unbefugte Offenbarung...

Das „Schwarze Brett“, Intranet etc. und der Datenschutz

Die Geburtstagsliste 
Ehrungen und Glückwünsche zu freudigen Anlässen wie Geburtstagen, Jubiläen oder Hochzeiten zukommen zu lassen ist positiv zu bewerten. Die betroffenen Geburtstagskinder, Jubilare oder die Frischvermählten müssen darüber informiert werden und sie müssen einwilligen, ihre personenbezogenen Daten veröffentlichen zu lassen.

Bußgeld von über 200.000 € wegen Verstoß gegen die Informationspflicht

Die polnische Datenschutzbehörde hat gerade ihr erstes Bußgeld verhängt, und das gleich in Höhe von umgerechnet etwa 219.650 €, weil 6.000.000 Menschen nicht über die Verarbeitung informiert wurden. Ein Unternehmen hatte Daten aus öffentlichen Datenbanken bezogen.

Merkblatt – Art.33

Meldepflicht bei Verletzung des Schutzes personenbezogener Daten (Datenverlust)

1.   Grundsatz
Voraussetzung der Meldepflicht ist eine eingetretene und als solche erkannte Verletzung des Schutzes personenbezogener Daten.

Bußgeldverfahren aller Orten, Bußgelder als „Orientierungshilfe”, einige Beispiele

Nach einem Bericht des Handelsblatts werden die meisten Bußgeldverfahren durch Beschwerden von Betroffenen ausgelöst. Die Behörden beginnen dann ihre Ermittlungen.

Visitenkarten-Austausch als datenschutzrechtliches Problem

Nach Pressebericht soll nach Aussagen eines Sprechers der Berliner Aussichtsbehörde die bloße „Entgegennahme der Visitenkarte für sich genommen noch keine Informationspflicht auslösen“.

Nepperei? Das hat es mit der Datenschutzauskunft-Zentrale auf sich

Seit Oktober erhalten Unternehmen eine „Eilige FAX-Mitteilung“ der „DAZ Datenschutzauskunft-Zentrale“ mit angeblichem Sitz in Oranienburg. Das Fax ist überschrieben mit „Erfassung Gewerbebetriebe zum Basisdatenschutz nach EU-DS-GVO“.

Datenschutzverstoß ist abmahnbar

Das Landgericht (LG) Würzburg hat mit Beschluss vom 13.09.2018 (Az. 11 O 1741/18 UWG) entschieden, dass Verstöße gegen die DSGVO von Wettbewerbern abgemahnt werden können.

Eine Ergänzung zur DSGVO

Wer kennt die EPVO? Diese Abkürzung ist Ihnen vielleicht nicht sofort ein Begriff, die ausgeschriebene Bezeichnung ePrivacy-Verordnung aber sicher schon. Mit Inkrafttreten ist nicht vor 2019 zu rechnen, möglicherweise gibt es Übergangsfristen. Worum geht es dann?

Die DSGVO hat wohl ihren ersten großen Bußgeld-Fall

Die portugiesische Datenschutzbehörde hat nach Presseberichten Bußgelder in Höhe von insgesamt 400.000 € gegen ein Krankenhaus verhängt.