Bußgeld

BfDI überreicht seine Berichte zu Datenschutz und Informationsfreiheit

von Sascha Kuhrau
19. Juni 20209. Dezember 2020

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden.

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wichtigen — Themen durch Erwähnungen gerecht zu werden.

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind

Alltagserleichterung und Praxistauglichkeit,
Datenpannenmeldungen,
Zweckbindung,
Data Protection by Design,
Befugnisse der Aufsichtsbehörden und Sanktionspraxis,
Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz,
Direktwerbung,
Profiling und
Akkreditierung.

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage und Stellungnahmen der Datenethikkommission.

Einige Zahlen zur Tätigkeit des BfDI

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen.

Empfehlungen des BfDI für Einrichtungen und Bürger

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert.

Gremienarbeit und Gesetzgebung

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein.

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung — wie etwa StPO, Zollfahndungsdienst und der geplanten Darknet Gesetzgebung — gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits- und Sozialwesen eingegangen.

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e‑Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert.

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern.

Zusammenfassung

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise.

Dashcams erlaubt? Im Datenschutz Check

von Sascha Kuhrau
25. Mai 20209. Dezember 2020
6 Kommentare

Wer hat nicht schon einmal mit einer solchen geliebäugelt? Der Komfort und die Rechtssicherheit der Dashcams, kleine Kameras hinter der Windschutzscheibe, am Lenker oder welche Vehikel auch immer bevorzugt werden, erscheinen als eindeutiges Verhältnismäßigkeitskriterium. Allerdings sind sie durchaus nicht uneingeschränkt und in jedem Land erlaubt. Was zu beachten ist, erklärt dieser Beitrag.

Die Funktionsweise

Dashcams sollen insbesondere das Verkehrsgeschehen und ‑unfälle aufzeichnen, um tatsachenwidrigen bzw. parteiischen Aussagen entgegenzuwirken und eine eindeutige Beweisführung zu ermöglichen. Dass die Videos jeden Aufgenommenen belasten können — einschließlich des Dashcam Besitzers, muss nicht gesondert erwähnt werden. Angeschlossen an die Bordelektronik und / oder per Akku sind sie in der Lage, auf Micro SD Karten im Gigabyte Bereich in Endlosschleife aufzuzeichnen. Diverse Modelle haben auch Bewegungssensoren und Infrarotsicht.

Dashcams in der praktischen Anwendung

Die Aufzeichnung amtlicher Kennzeichen und Personen ist eine Verarbeitung personenbezogener Daten. Das online Stellen kenntlicher Inhalte ist selbstverständlich eindeutig ein Verstoß gegen die informationelle Selbstbestimmung. Aus behördlicher Datenschutzsicht geht der Tenor dahin, dass der Betrieb von Dashcams auch dann als unzulässig zu betrachten ist, wenn kurz und anlassbezogen aufgezeichnet wird, da naturgemäß keine Informationspflichten über Zweck etc. mitgeteilt werden können. Nicht umsonst achtet man bei Videoüberwachung in Firmen und anderen Einrichtungen auf Beschilderung außerhalb des Erfassungsbereichs u.a. mit den Zwecken und den Daten des Aufzeichnenden.

Die Kriterien einer datenschutzkonformen Videoaufzeichnung sind nicht in Stein gemeißelt, aber klar definierbar. Generell geht es um die Kenntnis der konkreten Umstände und einer sachgerechten Abwägung der Rechtsgüter.

Auch Generell Iin Fragen der richtigen Beurteilung und der rechtssicheren datenschutzkonformen Prozessgestaltung steht Ihnen unser Team als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte zur Seite.

Die Frage zur Zulässigkeit von Dashcams vor dem BGH

In seiner Entscheidung VI ZR 233/17 vom 15.05.2018 entschied der Bundesgerichtshof, dass Dashcam-Aufzeichnungen im Unfallhaftpflichtprozess aus zivilrechtlicher Sicht verwertbar sein können. Im Einzelfall sei jedenfalls eine Interessen- und Güterabwägung vorzunehmen.

Überwiegende Interessen beim Einsatz von Dashcams

Grundsätzlich wird man wohl das Interesse des Dashcam Betreibers den schutzwürdigen Interessen anderer Verkehrsteilnehmer unterordnen müssen, insbesondere dann, wenn permanente und nicht anlassbezogene Aufzeichnungen vorgenommen werden. Anderenfalls wäre das Rechtsgut der informellen Selbstbestimmung gefährdet. Allerdings ist die Anwendung von Dashcams auch hinsichtlich der Verwertungsfrage weiterhin umstritten.

Das BayLDA kündigte an, dass Übermittlungen von Dashcam-Aufzeichnungen an Polizei und Versicherungen als Verstoß gewertet und mit einem Bußgeld geahndet werden könnten.

Informationssicherheit — IT-Sicherheitslücken und Datenpannen 2019 und 2020 — Teil 2

von Sascha Kuhrau
20. April 20209. Dezember 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate.

Oberlandesgericht Berlin wird gehackt - Informationssicherheit fraglich

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit.

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T‑Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste …

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben.

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden.

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden.

2019-11 — Sicherheitslücke bei chinesischem Smartphone-Hersteller

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt.

2019-12 — Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm‑, Kontakt- Kunden- und Transaktionsdaten.

2020-02 — Vorfall in der Informationssicherheit bei Samsung

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt.

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten.

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services.

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten.

2020-03 — Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis‑, Bank‑, Steuer- und Unternehmensdaten.

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert.

Hacking, Sicherheitslücken und prominente Datenpannen aus 2019 und 2020 — Teil 1

von Sascha Kuhrau
18. April 20209. Dezember 2020

Im vorigen Post haben wir über das Image von und den Umgang mit Datenpannen berichtet. Dabei haben wir versucht, dem durchschnittlichen Datenpannen-Verursacher ein Stück weit die Angst davor zu nehmen, solche Ereignisse professionell festzustellen und an die Aufsichtsbehörden zu melden. Allerdings traten und treten Sicherheitslücken, Hacking und Datenpannen weltweit und hierzulande auf, die keineswegs amüsant oder hinnehmbar sind. Betrachtet werden hierbei die letzten zwölf Monate.

2019-04 - 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Servern

Zwei Kooperationspartner des bekanntesten Online Social Media Netzwerks haben Daten von Facebook auf offen zugänglichen Amazon-Servern gespeichert. Dabei handelt es sich um

das Unternehmen Cultura Colectiva, das Accountnamen, Kommentare und Likes frei zugänglich im AWS Cloud Dienst speicherte

die Entwicklerfirma der Facebook App «At the Pool», die Passwörter im Klartext von 22 000 Facebook Nutzern auf öffentlich zugänglichen Serverbereichen speicherte.

Im Lichte des Cambridge Analytica Skandals, bei dem Informationen über Millionen Facebook-Nutzer an das gleichnamige Unternehmen zwecks Analysen weitergegeben wurden, war Facebook bereits unter Datenschutz-Druck geraten. Die Zukunft wird zeigen, ob aus den Ereignissen Lernerfolge gezogen werden konnten. Ein gewisser Trost dürfte möglicherweise darin bestehen, dass Facebook Profile ohnehin überwiegend zur Veröffentlichung geschönter und damit allenfalls bedingt realer personenbezogener Informationen genutzt werden 🙂 Das schmälert jedoch nicht die Brisanz dieser Datenpanne.

2019-05 — Hacking und Datenpannen im Arztbereich

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) beklagt die hohe Anzahl von datenschutzbezogenen Sicherheitsvorfällen in Arztpraxen. Hacking wie Verschlüsselungstrojaner und Fehlversand von Patientenberichten, Rezepten und Röntgenbildern bildeten dabei die Spitze des Eisbergs. Insbesondere bei der Verarbeitung solch sensibler Patientendaten seien starke technische und organisatorische Maßnahmen (TOM) „wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung“ unabdingbar.

2019-08 — Hacking — Daten von 106 Millionen Bankkunden der Capital One erbeutet

Einer Hackerin, die in der Entwicklungsabteilung des genutzten Amazon Cloud Services AWS der US-Bank Capital One gearbeitet hatte, gelang es, von den Systemen der Bank personenbezogene Daten zu Kreditkarten und ‑anträgen zu erbeuten. Betroffen waren nebst Stamm- und Kontaktdaten die angegebenen Einkommen, Informationen zur Kreditwürdigkeit und Verfügungsrahmen. Laut Aussage der Bank soll nicht an einer Schwachstelle des Cloud Services, sondern die mangelhafte Konfiguration eine Firewall gehandelt haben.

2019-08 — Datenpanne im Hause Twitter

Twitter teilte mit, dass mehr als zwölf Monate lang Daten von ca 300 Millionen Twitter Usern mit Werbekunden ohne entsprechende Einwilligung geteilt wurden. Verbotswidrig wurden somit Daten an externe Empfänger weitergegeben. Betroffen gewesen seien laut Twitter Daten über Konsumdauer von Werbeanzeigen. Mailkonten und Passwörter waren lt. Twitter nicht betroffen.

2019-09 — Hacking nicht notwendig — Fahrlässigkeit bei Millionen von Patientendaten

Hochsensible Datensätze von weltweit mehreren Millionen Patienten, davon mehr als 13.000 Datensätze aus Deutschland, online unverschlüsselt und frei verfügbar auf hunderten von ungesicherten Servern. Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte einen “verheerenden ersten Eindruck” von dem Skandal. Eine Kollaboration des Bayerischen Rundfunks und ProPublica deckten diesen international bestehenden, und bis heute nicht beseitigten beinahe nicht fassbaren Missstand auf. Laut BR seien u.a. Daten wie Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs etc., einschließlich zugehöriger Behandlungsinformationen betroffen. Eine 2016 veröffentlichte Studie des Harvard-Professors Oleg Pianykh wurde in Fachkreisen zu Kenntnis genommen, führten jedoch zu keiner Verbesserung der Zustände. Für diejenigen Datensätze, die trotz des bis heute akut bestehen Problems nicht in die Hände von Unbefugten / Hackern gelangt sind, gilt, dass sich dies dem relativen Desinteresse von Hackern auf Grund der nur sehr bedingten Verwertbarkeit privater Gesundheitsdaten verdankt.

Datenpannen — jetzt ganz neu entdecken …

von Sascha Kuhrau
16. April 2020

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO.

Vermeiden und kommunizieren

Es ist bereits die halbe Miete, Datenpannen präventiv — u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien — auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes.

Meldungen von Datenpannen

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet.

Dunkelziffer von Datenpannen

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind.

Aufsichtsbehörden

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert.

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden.

Datenpannen bitte dokumentieren / melden

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell — z.B. in Checklistenform — zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s.

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung.

Datenschutz-Bericht 2020 der Landesdatenschutzbehörde Schleswig-Holstein — Teil 2

von Sascha Kuhrau
30. März 20209. Dezember 2020

Anwendung der DSGVO

Datenschutz / IT-Sicherheit — Allgemeines

Bei der Anwendung der DSGVO warnt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor „Schnellschüssen“. Vielmehr sei hierbei sorgfältig zu evaluieren. Bei der gerne diskutierten Findung der richtigen Rechtsgrundlage für eine Verarbeitung personenbezogener Daten läge das Augenmerk insbesondere auf Art. 6 Abs. 1 b und f DSGVO — (vor)vertragliche Maßgaben und berechtigte Interessen — sowie weiterführen die Einwilligung nach Buchstaben a der zitierten Vorschrift.

Datenschutzbeauftragten einer Einrichtung kämen insbesondere Beratungs‑, Unterrichtungs‑, Überwachungs- und Prüfaufgaben zu. Die den Verantwortlichen per Gesetz obliegenden Datenschutz-Pflichten dürften jenen nicht übergeholfen werden.

Politische Ansichten sind nach EU-Datenschutzrecht besonders sensible Informationen, die „immer einer spezifischen Rechtsgrundlage“ bedürften. Ebenso geschützt seien private Adressdaten.

Ein zwingend zu beachtendes Postulat angesichts der fortschreitenden Digitalisierung einerseits und der teils recht einseitig ergriffenen Schutzmaßnahmen von Privatdaten.

Bei jedweder Herstellung von Tonaufzeichnungen müssen Rechtsgrundlage(n) und angemessene Transparenz für die Betroffenen implizit sein.

Im Rahmen der Verarbeitung zur werblichen Ansprache sind die Maßgaben von Treu und Glauben einschlägig und der Adressat muss den werblichen Charakter leicht erkennen können.

Datenschutz in Online-Präsenzen

Die Landesdatenschutzbehörde Schleswig-Holstein hat an sämtliche Webseitenbetreiber in Form einer Pressemitteilung appelliert, genutzte Analysedienste wie Google Analytics u.ä. sowie deren im Datenschutz rechtskonformen Einsatz zu prüfen.

Zu Facebook Fanpage Betreibern und Facebook selbst wurde klargestellt, dass beide Gruppen die Anforderungen der Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO nicht erfüllen. Die Pflicht zum Abschluss einer entsprechenden Verarbeitungsvereinbarung betreffe sowohl Facebook als auch die hiesigen Fanpage Betreiber.

Künstliche Intelligenz = Artificial Intelligence

Bei Entwicklung, Implementierung und Anwendung von KI solle auf eine angemessene Implementierung von grundrechts- und werte-relevanten Momenten geachtet werden. Entsprechende Anreize könnten beispielsweise durch Fördergeber gesetzt werden.

TOM — technische und organisatorische Maßnahmen

vertrauliche Information sei im Faxversand nur bedingt geschützt. Bei Transport und Empfang werden „erhebliche Risiken für die Vertraulichkeit der Inhalte“ gesehen. In jedem Fall muss der konkrete und richtige Empfänger sichergestellt werden
Verantwortliche seien darauf verwiesen, „penibel“ zu beachten, dass personenbezogene Daten von Beschäftigten ausschließlich auf Basis von und in den Grenzen der Erfüllung ihrer Aufgaben erfolgt. Ein passendes und detailliertes Berechtigungskonzept sind der Grundstein für richtigen Beschäftigtendatenschutz — u.a. Bestandteil des Datenscchutz Quick-Checks
auch der Transport von Daten im Wagen sollte durch ein gewisses Maß an technischen und organisatorischen Maßnahmen (TOM) gesichert sein
Kreditinstitute rief das ULD auf, bei der Weitergabe personenbezogener Bankdaten Transport- sowie Inhaltsverschlüsselung zu implementieren

Datenschutz bei Gesundheitsinformationen

Das ULD konstatierte, dass

Krankenhäuser und Kliniken
Arzt‑, Zahnarztpraxen
Pflegeeinrichtungen, ‑dienste
Apotheken und vergleichbare Einrichtungen

durch ihren Umgang mit besondere Kategorien personenbezogener Daten diese generell zu verschlüsseln haben — insbesondere bei mobilen Devices und Speichermedien.

Externen Dienstleistern zur Vernichtung von Patientenunterlagen sind mittels einer AVV „detaillierte Vorgaben zur beabsichtigten Datenverarbeitung“ aufzuerlegen und eine schriftliche Verpflichtung auf das Datengeheimnis mit Durchgriff auf den Auftragsverarbeiter der ärztlichen Schweigepflicht nach § 203 StGB durchzuführen.

Videoüberwachung und Datenschutz

Videoüberwachung sollte nur in den Grenzen der rechtlichen Zulässigkeit und auf der Grundlage einer angemessenen Sachkenntnis erfolgen. Die Datenschutzbeauftragten und Landesdatenschutzbehörden können hierzu beraten.

Die Videoüberwachung muss in Umkleidebereichen grundsätzlich ausbleiben. Auch für Bereiche, in denen das Verhalten von Personen über längere Zeit aufgezeichnet wird, wie in Trainingsbereichen, schloss das ULD eine Zulässigkeit aus.

Allerdings dürfte es aller Voraussicht nach auch für diese Fallgestaltungen Schranken geben, die eine Videoüberwachung im Rahmen einer strengen Rechtsgüterabwägung erlauben.

AV — Datenschutz bei der Verarbeitung personenbezogener Daten im Auftrag

Die Weitergabe personenbezogener Daten an Auftragsverarbeiter ist dem Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten mitzuteilen — siehe auch das Thema Informationspflichten.

Die Einhaltung der Meldepflichten obliegt regelmäßig dem Verantwortlichen. Dieser kann den Auftragsverarbeiter allerdings zu den entsprechenden Meldungen zulässigerweise autorisieren, sofern die Autorisierung aus der Meldung für Aufsichtsbehörde „klar und beweisbar“ nachvollziehbar ist.

Es empfiehlt sich, Dienstleister und deren TOM regelmäßig zu kontrollieren oder nachprüfen zu lassen.

Website des ULD

Diese und viele weitere sehr aufschlussreich gestaltete Themen zum Datenschutz, der IT-Sicherheit und Politik hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein mit dem vorliegenden Bericht veröffentlicht.

Für die weiterführende Lektüre des Originals bitte hier klicken.

Kontaktaufnahme mit Daten aus öffentlichem Register

von Sascha Kuhrau
26. März 20209. Dezember 2020

Die Deutsche Gesellschaft für Politikberatung (degepol) hat eine Verwarnung wegen Datenschutzverstoßes von der Berliner Beauftragten für Datenschutz und Informationsfreiheit erhalten. In diesem Zuge erfolgte die Klarstellung, dass die Gewinnung von Daten aus öffentlichen Registern nicht zu jedem Zweck — wie etwa dem Versand personalisierter Werbung — zulässig ist. Dies hat Auswirkungen sowohl auf die werbliche Kontaktaufnahme als solche als auch auf Umfragen, die mit Hilfe solcher Informationen durchgeführt werden, im vorliegenden Fall gegenüber Lobbys.

Beschwerde durch Betroffenen aus Lobbys

Im vorliegenden Fall waren Verbände / deren Vertreter aus dem öffentlichen Register über Lobbys des Bundestags mittels Tabellenexport in Excel angeschrieben und zu Umfragen eingeladen worden. Die zugrunde liegende Beschwerde wurde durch einen Betroffenen Lobby-Angehörigen eingegeben.

Quellenangaben

Die Daten aus dem Lobby-Register seien von der degepol an den Dienstleister onlineumfragen.com weitergegeben worden für den Versand von Anschreiben mit personalisierter Anrede und ohne Hinweis auf Datenquellen. Unter anderem hierin wurde ein Datenschutzverstoß gesehen. Eine Quellenangabe habe mit dem ersten Anschreiben erfolgen müssen und wurde auch in der verlinkten Datenschutzerklärung vermisst — so die Datenschutzaufsicht.

Namen von Lobbyisten

Die Berliner DSB zog ein berechtigtes Interesse der Deutschen Gesellschaft für Politikberatung in Zweifel, nach dem diese die Daten zur Anfertigung einer “aussagekräftigen Studie” zu Honorarzahlungen in der Lobbywelt Deutschlands für erforderlich hielt. Ferner wurde moniert, dass in diesem Zusammenhang Namen Angehöriger von Lobbys ohne Notwendigkeit verarbeitet worden seien.

“Weitere aufsichtsrechtliche Mittel”, auch für einen Wiederholungfall, schloss die Datenschutzbehörde nicht aus. Generell gesprochen kann es sich bei solchen etwa um Vor-Ort-Prüfungen, die Anordnung von Maßnahmen oder die Verhängung von Bußgeldern handeln, um einige Befugnisse der unabhängigen Datenschutzbehörden zu nennen.

Register des Bundestags

Der Bundestag hat bisher kein verbindliches Verzeichnis hierzu herausgegeben. Das Register des Bundestages über Lobbys umfasst momentan über 2300 Einrichtungen, “die eine Aufnahme von sich aus beantragt“ hätten, um ihre Tätigkeiten damit transparent machen zu wollen.

Sicher auch aus Datenschutzsicht eine begrüßenswerte Intention.

Auftragsverarbeitung — Definition, Beispiele, Massnahmen, Risiken (Update) — früher Auftragsdatenverarbeitung

von Sascha Kuhrau
16. März 20208. Dezember 2020
4 Kommentare

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How — Stichwort “Outsourcing”. Sind hiervon personenbezogene Daten betroffen, findet Art. 28 DSGVO Auftragsverarbeiter Anwendung.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Mißverständnissen und der Auftraggeber läuft Gefahr, gemäß DSGVO mit Geldbußen durch die Datenschutzbehörden belegt zu werden. Von Imageschäden in der Öffentlichkeitswahrnehmung nicht zu reden. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:

Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.

Einige praktische Beispiele von Auftragsverarbeitung:

Outsourcing des Rechenzentrums (ganz oder teilweise).
Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
Externe Lohn- und Gehaltsabrechnung.
Externe Rechnungsbearbeitung / Buchhaltung.
Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Aber auch weitere Leistungen sind ebenfalls von den Regelungen zu Art. 28 DSGVO betroffen (Beispiele):

Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
Systemmigrationen.

Was heisst das jetzt für Sie als Auftraggeber?

Liegt eine Auftragsverarbeitung vor, muss diese schriftlich geregelt werden.
Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren — im Zweifel persönlich vor Ort beim Auftragnehmer.
Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

Als Auftragnehmer haben Sie sich ebenfalls den Regelungen des Art. 28 DSGVO zu unterwerfen und stehen in der Pflicht, Ihren Auftraggeber bei der Umsetzung zu unterstützen.
Zukunftsorientierte Unternehmen haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. Art. 28 DSGVO bereits in der Schublade und gehen damit aktiv auf ihre Bestandskunden zu. Ein kleines, aber sehr wirkungsvolles Detail, um sich positiv vom Wettbewerb abzuheben und ihren Auftraggeber von ihrer Leistungsfähigkeit zu überzeugen.
Wenig hilfreich: den Auftraggeber vor die Wahl stellen — entweder ohne diese Vereinbarung samt Kontrollrechte zusammenzuarbeiten oder es eben sein zu lassen. Außer Sie sind sich sicher, Ihrem Auftraggeber ist Ihre Dienstleistung oder Ihr Produkt ohne Regelungen zur Auftragsverarbeitung ein Bußgeld wert.

Mit Bedacht sollten Musterverträge aus dem Internet eingesetzt werden. Teilweise entsprechen diese nicht den aktuellen Regelungen aus den letzten Novellierungen des Datenschutzrechts. Diese können zwar sinnvolle Ansatzpunkte liefern, ersetzen jedoch weder die individuell notwendige Anpassung auf die vorliegende Auftragsverarbeitung noch die rechtlich sichere Einschätzung, welche Maßnahmen hierzu notwendig sind.

Daher kann zur Vermeidung von Bußgeldern und Imageschäden nur jedem Unternehmen und Unternehmer geraten werden, einen Berater / Anwalt für Datenschutz oder Datenschutzbeauftragten hinzuzuziehen. Dieser stellt die korrekte Umsetzung sicher und haftet im Zweifel für mögliche Versäumnisse aus seiner Tätigkeit.

Hilfreiche Links und Tipps zur Auftragsverarbeitung im Internet:

“15 Irrtümer bei der Auftragsdatenverarbeitung” — sehr interessanter und aufklärender Beitrag über die zahlreichen Möglichkeiten, was bei der Bewertung und Umsetzung von Auftrags(daten)verarbeitung alles falsch gemacht werden kann
Div. Infos und Vorlagen des BayLDA zur Auftragsverarbeitung

Bericht 2019 der Datenschutzbehörde Saarland — Überblick

von Sascha Kuhrau
15. März 20209. Dezember 2020

Druckfrisch zu berichten — die Landesbeauftragte für Datenschutz und Informationsfreiheit der Aufsichtsbehörde Unabhängiges Datenschutzzentrum Saarland (UZD) hat dieser Tage den 28. Tätigkeitsbericht im Datenschutz für das Saarland vorgelegt (Landtagsdrucksache Saarland 16/1200). Darin wurde unter anderem auf konkrete, einzelfallbezogene Entwicklungen und Maßnahmen, erfolgte Vorträge, Verfahren und Beratungen sowie auf fachliche Aspekte der DSGVO-Vorgaben und ‑umsetzungen und Rechtsprechung detailliert eingegangen.

News in 2019

Im Jahr 2019 wurden zwei neue Stellen für Mitarbeiter im UDZ vom Landtag Saarland bewilligt, die erfolgreich besetzt wurden, allerdings sieht das UDZ hier quantitativen Optimierungsbedarf.

Die Website des UDZ wurde mit einem neuen CMS angebunden und hat ein neues Design bekommen mit Optimierung auf Barrierefreiheit, der Melde- und Kontaktformulare sowie für Mobilgeräte.

Vor dem Hintergrund der Notwendigkeit, wachsenden Anforderungen, rechtlichen Vorgaben und einer effektiven, angemessenen Abwehr von Cyber-Angriffen kosteneffizient nachzukommen, wurde in dem Bericht die Einführung eines ISMS erläutert und dabei insbesondere ISIS12 „als pragmatisches und leicht skalierbares Vorgehensmodell“, das auch gerade Kommunen eine gute Verbindung von den Vorgaben und realen Ressourcen ermögliche.

„Der gesamte Prozess von der Sensibilisierung der Mitarbeiter, Einschätzung der Gefährdungslage bis hin zur Abwehr von Angriffen kann durch ein ISMS wie ISIS12 gesteuert und überwacht werden.“

Nach der Implementierung und einem TOM-bezogenen Audit wurde das UDZ zum 09.10.2019 zertifiziert.

Beratungen und Öffentlichkeitsarbeit

Das UDZ hat im Berichtsjahr 50 Veranstaltungen zur Information und Sensibilisierung zum Datenschutz und der DSGVO ausgerichtet, bei denen es unter anderem schwerpunktmäßig um Auslegungsfragen der DSGVO ging. Insgesamt sieht man auch bei der Öffentlichkeit ein steigendes Interesse an Datenschutzthemen und ‑fragen.

In Bezug auf das im Dezember 2019 beschlossene Justizvollzugsdatenschutzgesetz, bei dessen Entwürfen das UZD beratend involviert war, stellt der Bericht fest, dass man sich eine umfassende Modernisierung des Datenschutzrechts auch in diesem Bereich gewünscht hätte.

Die UDZ nahm an Beratungsgesprächen mit der Enquêtekommission „Digitalisierung im Saarland“ teil und führte hier unter anderem die wichtige Rolle des Datenschutzes in der Entwicklung des E‑Government aus.

In Brüssel tauschte man sich bei der EU-Vertretung des Saarlandes über die innereuropäische Zusammenarbeit der Datenschutzbehörden aus. In den 154 Fällen nahm die Landesdatenschutzbehörde ihre Verfahrenszuständigkeit iSd. Art. 56 DSGVO in Bezug auf innereuropäische, länderübergreifende Verarbeitungen wahr. Die Behörde war an elf Rechtsetzungsvorhaben beteiligt.

Datenschutzverletzungen nach Art. 33 DSGVO

Dem Bericht zufolge wurden im vergangenen Jahr 286 Datenschutzverletzungen an die Landesdatenschutzbehörde gemeldet und elf amtliche Maßnahmen iSd. Art. 58 DSGVO zur Prävention von Datenpannen vorgenommen. Den Anstieg der Meldungen von Datenpannen wird auf höhere Kriterien durch die DSGVO, aber auch eine höhere Sensibilität für Datenschutzthemen gesehen.

Prüfungen

In seinem Bericht spricht das UZD von „mehreren Prüfungen“, die — meist anlassbezogen und oft im Kontext des Beschäftigtendatenschutzes — in 2019 in Einrichtungen sowohl angekündigt als auch unangekündigt durchgeführt wurden. Kriterium für die Frage der Vorabankündigung sei die Abwägung der Wahrscheinlichkeit eines Wegfalls des Prüfgegenstands durch Manipulation im Falle der Ankündigung. Im Vorfeld würden Prüfgegenstand und ‑ablauf klar definiert und im Regelfall zunächst die Vorlage von VVT, einer DSFA „oder zumindest [..] Risikobewertung“, der TOM, Dokumentationen zum Umgang mit Betroffenenrechten, Löschfristen und weitere Datenschutzkriterien vor Ort angefordert. Darauffolgend die Prüfung des konkreten Anlasses und Verfertigung einer Kurzzusammenfassung vor Ort, die zusammen mit dem Verantwortlichen erörtert wird.

Der eigentliche Prüfbericht wird der Einrichtung / dem Verantwortlichen zugestellt und dieser kann dazu Stellung nehmen. Gegebenenfalls erfolgen Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO und die Verhängung einer Geldbuße.

Das UZD führte nach der Einführung des Einsatzes von Body-Cams bei der Polizei Saarland Stichproben durch, bei denen es erhebliche Defizite bei der Einhaltung der Datenschutzvorgaben festgestellt hat.

Bei der Prüfung von BCR (Binding Corporate Rules) zur Datensicherheit innerhalb international agierdender Konzernstrukturen iSd. Art. 47 DSGVO war das UDZ in 2019 insgesamt zweimal beteiligt — bei 20 BCR-Verfahren europaweit.

Rechenschaftspflicht Großunternehmen

Ende 2018, Anfang 2019 wurden drei der größten Unternehmen des Saarlands um Rechenschaft ersucht hinsichtlich DSGVO Umsetzungsstand, VVT, Risikoabschätzungen und Prozesse und die datenschutzkonforme Verarbeitung von personenbezogener Daten im allgemeinen sowie im Detail.

Weitere Themen

Der Bericht enthält außerdem detaillierte Kapitel unter anderem zu Rechtsfragen, rechtlichen Auslegungen und Bewertungen sowie Rechtsanwendung der DSGVO, die interessante und wichtige Aspekte beleuchten:

Informationspflichten
Auskunftsrecht
Abgrenzung der klassischen AV zur Gemeinsamen Verantwortlichkeit
DSFA
Zertifizierung und Akkreditierung
Fashion ID
Planet49
Orientierungshilfe Telemedien der DSK
ePrivacy-Verordnung
Windows 10
Datenschutzkonforme Nutzung von WhatsApp im Rahmen kommunaler Bürgerdienste
Streaming von Ratssitzungen
Nutzung von Geodaten
Telearbeit bei der Polizei
Lichtbildabgleich in Ordnungswidrigkeitenver- fahren
Fotografieren an Schulen und Kindergärten
Videoüberwachung
Datenschutz im Verein
Datenschutzrechtliche Bewertung telefonischer Werbeansprachen
Einsicht in die Patientenakte

Den Bericht finden Sie im pdf Volltext auf der Website der Landesbeauftragten für Datenschutz und Informationsfreiheit der Aufsichtsbehörde Unabhängiges Datenschutzzentrum Saarland — UZD.

Wenn Sie Fragen zu Themen oder Begriffen des Berichts haben, nutzen Sie hierfür gerne die Kommentarfunktion — Ihr Team von a.s.k. Datenschutz.

Übersicht der DSGVO Bußgelder

von Sascha Kuhrau
5. Februar 2020

Mit schöner Regelmäßigkeit hört und liest man in den Medien etwas von Bußgeldern im Datenschutz basierend auf der DSGVO oder anderer Datenschutzgesetze. Merken kann man sich die alle nicht. Doch es kann nicht schaden, das eine oder andere Bußgeld für verschiedene Formen an Datenschutzverstößen zu kennen. DSGVO Bußgelder sollten zwar nicht der alleinige Antrieb zur Einhaltung von Rechtsvorschriften sein, aber vielleicht muss man als interner oder externer Datenschutzbeauftragter auch mal mit Zahlen kommen, damit sich etwas in der Organisation bewegt 🙂

Übersicht der DSGVO Bußgelder

Und da ist es sehr hilfreich, dass sich die Betreiber von https://dsgvo-portal.de die Mühe machen, stets aktuelle Bußgelder zu erfassen und zu katalogisieren. Kann ja ganz hilfreich sein, zu wissen und anzuführen, dass für Werbeanrufe ohne Einwilligung, Informationsmängel in Apps und unzureichende TOM (technische und organisatorische Maßnahmen) die italienische Datenschutzaufsicht im Januar 2020 ein Bußgeld in Höhe von 27,8 Mio Euro verhängt hat. Die genannten Verstöße sind ja nicht selten. Vielleicht ein weiterer Anstoß, um solche Mängel in der eigenen Organisation anzugehen.

Die im Portal gelisteten DSGVO Bußgelder lassen sich nach diversen Kriterien sortieren und anzeigen, z.B. nach Bußgeldhöhe, Datum, Land und auch Bußgeldempfänger (da finden sich einige alte Bekannte, aber auch sehr viele neue Namen). Ein Wermutstropfen, wenn man das so sehen mag, ist jedoch vorhanden: In der Übersicht finden sich die Bußgelder, welche von den Aufsichtsbehörden verhängt wurden. Das muss nicht identisch sein, was von den betroffenen Organisationen z.B. nach Beschreiten des Rechtsweges dann wirklich gezahlt wurde. Sofern es hierzu Erkenntnisse gibt, finden sich diese unter den Details, die man zu jedem Vorgang aufrufen kann. Darin wird auch die Art des Verstoßes weiter konkretisiert.

Danke an die Betreiber des Portals.

Bußgeld

Eini­ge Zah­len zur Tätig­keit des BfDI

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger

Gre­mi­en­ar­beit und Gesetz­ge­bung

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich

Zusam­men­fas­sung

Die Funk­ti­ons­wei­se

Dash­cams in der prak­ti­schen Anwen­dung

Die Fra­ge zur Zuläs­sig­keit von Dash­cams vor dem BGH

Über­wie­gen­de Inter­es­sen beim Ein­satz von Dash­cams

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler

2019-12 — Daten­pan­ne bei der Luft­hansa

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet

2019-08 — Daten­pan­ne im Hau­se Twit­ter

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten

Ver­mei­den und kom­mu­ni­zie­ren

Mel­dun­gen von Daten­pan­nen

Dun­kel­zif­fer von Daten­pan­nen

Auf­sichts­be­hör­den

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den

Anwen­dung der DSGVO

Daten­schutz /​ IT-Sicher­heit — All­ge­mei­nes

Daten­schutz in Online-Prä­sen­zen

Künst­li­che Intel­li­genz = Arti­fi­ci­al Intel­li­gence

TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men

Daten­schutz bei Gesund­heits­in­for­ma­tio­nen

Video­über­wa­chung und Daten­schutz

AV — Daten­schutz bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag

Web­site des ULD

Beschwer­de durch Betrof­fe­nen aus Lobbys

Quel­len­an­ga­ben

Namen von Lobbyisten

Regis­ter des Bun­des­tags

News in 2019

Bera­tun­gen und Öffentlichkeitsarbeit

Daten­schutz­ver­let­zun­gen nach Art. 33 DSGVO

Prü­fun­gen

Rechen­schafts­pflicht Großunternehmen

Wei­te­re Themen

Über­sicht der DSGVO Bußgelder

Einige Zahlen zur Tätigkeit des BfDI

Empfehlungen des BfDI für Einrichtungen und Bürger

Gremienarbeit und Gesetzgebung

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

Zusammenfassung

Die Funktionsweise

Dashcams in der praktischen Anwendung

Die Frage zur Zulässigkeit von Dashcams vor dem BGH

Überwiegende Interessen beim Einsatz von Dashcams

Oberlandesgericht Berlin wird gehackt - Informationssicherheit fraglich

2019-11 — Sicherheitslücke bei chinesischem Smartphone-Hersteller

2019-12 — Datenpanne bei der Lufthansa

2020-02 — Vorfall in der Informationssicherheit bei Samsung

2020-03 — Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin

2019-04 - 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Servern

2019-05 — Hacking und Datenpannen im Arztbereich

2019-08 — Hacking — Daten von 106 Millionen Bankkunden der Capital One erbeutet

2019-08 — Datenpanne im Hause Twitter

2019-09 — Hacking nicht notwendig — Fahrlässigkeit bei Millionen von Patientendaten

Vermeiden und kommunizieren

Meldungen von Datenpannen

Dunkelziffer von Datenpannen

Aufsichtsbehörden

Datenpannen bitte dokumentieren / melden

Anwendung der DSGVO

Datenschutz / IT-Sicherheit — Allgemeines

Datenschutz in Online-Präsenzen

Künstliche Intelligenz = Artificial Intelligence

TOM — technische und organisatorische Maßnahmen

Datenschutz bei Gesundheitsinformationen

Videoüberwachung und Datenschutz

AV — Datenschutz bei der Verarbeitung personenbezogener Daten im Auftrag

Website des ULD

Beschwerde durch Betroffenen aus Lobbys

Quellenangaben

Register des Bundestags

Beratungen und Öffentlichkeitsarbeit

Datenschutzverletzungen nach Art. 33 DSGVO

Prüfungen

Rechenschaftspflicht Großunternehmen

Weitere Themen

Übersicht der DSGVO Bußgelder