Datenschutzbeauftragter

Europatag 2020 — Videoreihe des LfDI

von Sascha Kuhrau
20. Mai 20209. Dezember 2020

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) vom 15.05.2020 wird zum Europatag 2020 eine Videoreihe vorgestellt.

Jubiläum — 70 Jahre EU und der Datenschutz zum Europatag 2020

Der französische Außenminister Robert Schuman prägte mit dem Ausspruch, dass „Europa [..] durch konkrete Tatsachen entstehen [wird], die zunächst eine Solidarität der Tat schaffen.“ am 09. Mai 1950 das politische Bewusstsein für die Gründung der Europäische Union. Als Urheber der DSGVO wird die EU sowie der Europatag 2020 selbstverständlich auch von Datenschützern aller Herren Länder begangen und gefeiert. Anlässlich dieses — 70-jährigen — Jubiläums ehrt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ein zusammenwachsendes Europa auf besondere Art.

Videoreihe des LfDI

Unter dem für „LfDI“ akronymen Titel „Datenschutz – zum Luaga fir Dahoim ond Iberall“ werden in lockerer und aufschlussreicher Form Themen des Datenschutzes und der Informationssicherheit behandelt und wie europaweit geltende Regelungen in dem Bundesland umgesetzt werden.

Das aktuelle Video zum Europatag 2020

In der ersten Folge wird eine Einführung passend zum Thema Datenschutz zum Europatag 2020 in das Thema Datenschutz vermittelt mit Grundbegriffen und Tipps. Neben Erläuterungen der Begriffe personenbezogener Daten und der Verarbeitung dieser werden Sinn und Nutzen des Datenschutzes prägnant thematisiert. Letzteres ist noch nicht überall eine Selbstverständlichkeit. Die Zuordenbarkeit von Daten zu Personen wird mit Beispielen wie KFZ-Kennzeichen und Videoaufzeichnungen veranschaulicht. Tragende Grundsätze des Datenschutzes wie u.a. die nachfolgenden werden erklärt:

Integrität
Vertraulichkeit
Zweckbindung
Transparenz

Auch Rechtmäßigkeit, Rechenschaftspflichten und die Betroffenenrechte nach Artt. 15 ff. DSGVO sind Gegenstand der Betrachtung. Das Prozessprinzip Plan, Do, Check, Act sowie die Meldung von Datenpannen auf dem online Wege und die Abgrenzung von Auftragsverarbeitung und Gemeinsamer Verantwortlichkeit iSd. Art. 26 DSGVO werden dem Zuschauer näher gebracht.

Weitere Episoden zum Datenschutz

Nicht nur zum Europatag 2020, sondern generell ist dies eine vielversprechende Reihe, Anwendern und Betroffenen wichtige Aspekte des Datenschutzes und auch der Informationssicherheit in einem informativen und gut konsumierbaren Format anzubieten. Für die folgenden Videos werden detailliertere Themen wie „Löschkonzept“ und „Transparenzpflicht“ angekündigt. Adressaten der Videoreihe seien „insbesondere [..] kleine und mittelständische Unternehmen, Vereine und natürlich auch an unsere Kommunen.“

Training und Betreuung von Datenschutzexperten

Die Herausforderungen für Unternehmen und Kommunen im Datenschutz sind sehr anspruchsvoll. Rufschädigende oder kostenintensive Fehler sind schnell passiert. Wenden Sie sich vertrauensvoll an Ihren Datenschutzbeauftragten. Sie haben keinen? Dann fordern Sie doch einfach ein unverbindliches Angebot für einen externen Datenschutzbeauftragten bei uns an.

Corona App und Datenschutz — ein Update und viele Grüße

von Sascha Kuhrau
23. April 20209. Dezember 2020

Vor allem anderen möchten wir Sie liebe Leute, liebe Leser, liebe Kunden herzlich grüßen. Wir hoffen, dass es Ihnen und den Ihrigen gut geht und dass Ihr Einstieg in das Home-Office bzw. in die Corona bedingten Sondersituationen ok bis gut war. Abgesehen von den international schwierigen Zuständen in Pflege und Logistik — wie etwa das kollektive Maskenbasteln in Industrieländern — können insbesondere Ungewissheiten, subjektive Interpretationen und Ungenauigkeiten in Berichterstattungen dieser Tage schon ziemlich nerven. Wenn Sie also zu Corona, Corona App, Datenschutz oder Home-Office im Allgemeinen etwas schreiben möchten, nutzen Sie gerne das Kommentarfeld zu diesem Post.

Ihr Team von a.s.k. Datenschutz.

P.S. Wir sind gesund und munter und halten unsere Porsche Design Pyjamas modegemäß 😉 Wir freuen uns, Sie bald wieder zu sehen. Und wenn Sie sich zu Datenschutz etc. kurzfristig besprechen möchten, lassen Sie uns einfach gerne per Video Call in Verbindung treten.

App Lösungen gegen Corona

Um der Corona Pandemie besser Herr zu werden, sind verschiedene Ansätze für softwarebasierte Lösungen entwickelt worden, wie zum Beispiel die Konzepte DP-3T und PEPP-PT, die auf personenbezogene Daten zurückgreifen. Eine derzeit besonders prominente Variante ist das Contact Tracing, bei der man als Nutzer der zugehörigen App gewarnt wird, welche anderen App Nutzer im Umkreis x infiziert sein können. Die EU-Kommission befasst sich mit dem Thema.

EU-Kommission zu der Verarbeitung von sensiblen Daten und der Corona App

Der Datenschutzausschuss der EU-Kommission (EDPB) ist bestrebt, den Entwicklungsprozess von Apps und Software zur Corona Bekämpfung nach datenschutzgerechten Maßgaben zu fördern. In diesem Kontext hat der Ausschuss am Dienstag, den 21.04.2020 eine Richtlinie zum Einsatz von Ortungsdaten und Softwarelösungen / Apps, wie etwa zur personenbezogenen Kontaktnachverfolgung, herausgegeben, welche die nationalen Behörden und die Developer Einrichtungen adressiert.

Inhaltliche Anforderungen

Bei der Auswertung sensibler Daten und dem Einsatz von Corona Apps seien Zweckbindung, Transparenz und Datensparsamkeit unerlässlich — alles zentrale Postulate der DSGVO. In der auf Masse angelegten Analyse von Bewegungsdaten sei ein erheblicher Eingriff in die Freiheitsrechte zu sehen, daher sei hier das Prinzip der Freiwilligkeit (Abschnitt zu 2020-02) zu wahren.

Standortdaten seien grundsätzlich nicht zu erfassen, da sie für Mitteilungen über mögliche Infektionsketten nicht benötigt würden und ferner die Aufhebung der Anonymisierung erleichterten. Ferner sei eine Datenschutzfolgeabschätzung für den Einsatz solcher Apps durchzuführen und zu veröffentlichen.

Empfehlungen auch zu Gestaltung einer Corona App

Die App könnte über ein zentrales Serversystem betrieben werden mit restriktiven Zugriffsberechtigungen und geräteorientierten, nativen Sicherheitsmaßgaben. Es bestand große Uneinigkeit betreffend die Frage des zentralen oder dezentralen App-Betriebs. Der Schwerpunkt solle darauf gelegt werden, dass Daten eher lokal gespeichert werden.

Krisenbedingter Umgang mit sensiblen personenbezogenen Daten

Die Richtlinie definiert auch Ausnahmen für den Ermessensspielraum der nationalen Behörden, im Rahmen der Gesetzgebung Ausnahmen von DSGVO-Grundsätzen zu machen. So kann etwa das Erfordernis der Einwilligung für die Verarbeitung von Gesundheitsdaten entfallen, bzw. die Rechtsgrundlage durch Wahrnehmung einer Aufgabe des öffentlichen Interesses oder die Ausübung öffentlicher Gewalt gegeben sein.

Eine Corona App in der Praxis

Brillante Entwicklungen wie das Contact Tracing und die KI-basierte Auswertung von Daten zur intelligenten Gesundheitsvorsorge sind als wahrer Fortschritt in der notwendigen Digitalisierung zu sehen. Dass der konstruktive Erfolg indes mit der effektiven Ausführung in allen organisatorischen Ebenen steht und fällt, beschäftigt die Datenschutzexperten weltweit.

Fachleute wie die des EU-Ausschusses und der Datenschutzbehörde Schleswig-Holstein sehen den Erfolg dieses konkreten Projekts auch insbesondere vom Vertrauen des Anwenders in die professionelle Verarbeitung seiner Daten abhängig

Oft wird in diesem Kontext ausdrücklich darauf hingewiesen, dass der Datenschutz weder der Pandemiebekämpfung noch der Forschung im Wege steht.

Informationssicherheit — IT-Sicherheitslücken und Datenpannen 2019 und 2020 — Teil 2

von Sascha Kuhrau
20. April 20209. Dezember 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate.

Oberlandesgericht Berlin wird gehackt - Informationssicherheit fraglich

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit.

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T‑Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste …

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben.

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden.

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden.

2019-11 — Sicherheitslücke bei chinesischem Smartphone-Hersteller

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt.

2019-12 — Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm‑, Kontakt- Kunden- und Transaktionsdaten.

2020-02 — Vorfall in der Informationssicherheit bei Samsung

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt.

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten.

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services.

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten.

2020-03 — Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis‑, Bank‑, Steuer- und Unternehmensdaten.

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert.

Hacking, Sicherheitslücken und prominente Datenpannen aus 2019 und 2020 — Teil 1

von Sascha Kuhrau
18. April 20209. Dezember 2020

Im vorigen Post haben wir über das Image von und den Umgang mit Datenpannen berichtet. Dabei haben wir versucht, dem durchschnittlichen Datenpannen-Verursacher ein Stück weit die Angst davor zu nehmen, solche Ereignisse professionell festzustellen und an die Aufsichtsbehörden zu melden. Allerdings traten und treten Sicherheitslücken, Hacking und Datenpannen weltweit und hierzulande auf, die keineswegs amüsant oder hinnehmbar sind. Betrachtet werden hierbei die letzten zwölf Monate.

2019-04 - 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Servern

Zwei Kooperationspartner des bekanntesten Online Social Media Netzwerks haben Daten von Facebook auf offen zugänglichen Amazon-Servern gespeichert. Dabei handelt es sich um

das Unternehmen Cultura Colectiva, das Accountnamen, Kommentare und Likes frei zugänglich im AWS Cloud Dienst speicherte

die Entwicklerfirma der Facebook App «At the Pool», die Passwörter im Klartext von 22 000 Facebook Nutzern auf öffentlich zugänglichen Serverbereichen speicherte.

Im Lichte des Cambridge Analytica Skandals, bei dem Informationen über Millionen Facebook-Nutzer an das gleichnamige Unternehmen zwecks Analysen weitergegeben wurden, war Facebook bereits unter Datenschutz-Druck geraten. Die Zukunft wird zeigen, ob aus den Ereignissen Lernerfolge gezogen werden konnten. Ein gewisser Trost dürfte möglicherweise darin bestehen, dass Facebook Profile ohnehin überwiegend zur Veröffentlichung geschönter und damit allenfalls bedingt realer personenbezogener Informationen genutzt werden 🙂 Das schmälert jedoch nicht die Brisanz dieser Datenpanne.

2019-05 — Hacking und Datenpannen im Arztbereich

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) beklagt die hohe Anzahl von datenschutzbezogenen Sicherheitsvorfällen in Arztpraxen. Hacking wie Verschlüsselungstrojaner und Fehlversand von Patientenberichten, Rezepten und Röntgenbildern bildeten dabei die Spitze des Eisbergs. Insbesondere bei der Verarbeitung solch sensibler Patientendaten seien starke technische und organisatorische Maßnahmen (TOM) „wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung“ unabdingbar.

2019-08 — Hacking — Daten von 106 Millionen Bankkunden der Capital One erbeutet

Einer Hackerin, die in der Entwicklungsabteilung des genutzten Amazon Cloud Services AWS der US-Bank Capital One gearbeitet hatte, gelang es, von den Systemen der Bank personenbezogene Daten zu Kreditkarten und ‑anträgen zu erbeuten. Betroffen waren nebst Stamm- und Kontaktdaten die angegebenen Einkommen, Informationen zur Kreditwürdigkeit und Verfügungsrahmen. Laut Aussage der Bank soll nicht an einer Schwachstelle des Cloud Services, sondern die mangelhafte Konfiguration eine Firewall gehandelt haben.

2019-08 — Datenpanne im Hause Twitter

Twitter teilte mit, dass mehr als zwölf Monate lang Daten von ca 300 Millionen Twitter Usern mit Werbekunden ohne entsprechende Einwilligung geteilt wurden. Verbotswidrig wurden somit Daten an externe Empfänger weitergegeben. Betroffen gewesen seien laut Twitter Daten über Konsumdauer von Werbeanzeigen. Mailkonten und Passwörter waren lt. Twitter nicht betroffen.

2019-09 — Hacking nicht notwendig — Fahrlässigkeit bei Millionen von Patientendaten

Hochsensible Datensätze von weltweit mehreren Millionen Patienten, davon mehr als 13.000 Datensätze aus Deutschland, online unverschlüsselt und frei verfügbar auf hunderten von ungesicherten Servern. Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte einen “verheerenden ersten Eindruck” von dem Skandal. Eine Kollaboration des Bayerischen Rundfunks und ProPublica deckten diesen international bestehenden, und bis heute nicht beseitigten beinahe nicht fassbaren Missstand auf. Laut BR seien u.a. Daten wie Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs etc., einschließlich zugehöriger Behandlungsinformationen betroffen. Eine 2016 veröffentlichte Studie des Harvard-Professors Oleg Pianykh wurde in Fachkreisen zu Kenntnis genommen, führten jedoch zu keiner Verbesserung der Zustände. Für diejenigen Datensätze, die trotz des bis heute akut bestehen Problems nicht in die Hände von Unbefugten / Hackern gelangt sind, gilt, dass sich dies dem relativen Desinteresse von Hackern auf Grund der nur sehr bedingten Verwertbarkeit privater Gesundheitsdaten verdankt.

BSI warnt vor GermanWiper: Löschen statt Verschlüsseln ist die Devise dieses Trojaners

von Sascha Kuhrau
5. August 2019

Wer aktuell eine Bewerbung per Email erhält, sollte besonders wachsam sein. Hatten auf Stellenanzeigen hin präparierte Krypto-Trojaner wie Golden Eye damals das Verschlüsseln aller Daten auf dem Zielsystem im Sinn, sieht das bei GermanWiper nun anders aus. Statt Verschlüsselung greift diese neue Ransomware zum Löschen aller Daten. Im angehängten ZIP-Archiv befindet sich dieses Mal kein Word-Dokument mit Makros, sondern eine Windows-Link-Datei. Wird diese gestartet, öffnet sich die Windows Powershell und der eigentliche Schadcode von GermanWiper wird geladen und ausgeführt. Lt. BSI gibt der Text der Email noch keinen Anlass zum Argwohn. Unbedarfte bzw. unsensibilisierte Anwender dürften also durchaus eine Risikogruppe für diesen Angriff darstellen.

Hoffen auf eine Lösegeldforderung nach möglicher Bitcoin-Lösegeldzahlung braucht man bei GermanWiper nicht. Denn statt zur Verschlüsselung zu greifen, löscht GermanWiper einfach alle Daten im Rahmen der Zugriffsrechte des Anwenders. Gelöscht wird nicht mit dem klassischen Verschieben in den Papierkorb und anschließendem Leeren des Papierkorbs. In diesem Fall wären die Daten meist mit mehr oder weniger Aufwand wiederherstellbar. GermanWiper überschreibt vorhandene Daten mit Nullen. Perfide: Am Ende zeigt GermanWiper doch einen Lösegeldbildschirm an. Darauf eingehen, sollte man jedoch nicht. Denn die von GermanWiper gelöschten Daten können auch nach Zahlung von Lösegeld nicht mehr wiederhergestellt werden.

Wohl dem, der ein funktionsfähiges und regelmäßig geprüftes Backup seiner Daten hat. Dieses sollte selbstverständlich „offline“ sein, also durch einen Angriff wie mit GermanWiper nicht erreichbar sein. Berechtigungskonzepte sollten nach dem least privilege Prinzip umgesetzt sein (nur so viele Zugriffsrechte wie zwingend notwendig). Externe Laufwerke aber auch Netzlaufwerke sollten wirklich nur im Fall der Datensicherung verbunden sein und danach wieder getrennt werden. Eine Grundanforderung ist ebenfalls: Ein Administrator surft mit seinen erweiterten Rechten nicht im Internet und liest damit auch keine Emails. Für diese Tätigkeiten steht ein eingeschränkter Account zur Verfügung.

Im Rahmen eines Informationssicherheitskonzepts aber auch bei regelmäßig durch den Datenschutzbeauftragten geprüften technischen und organisatorischen Maßnahmen sollte dies gewährleistet sein. Auch regelmäßige Tests zur Datenwiederherstellung (Recovery-Tests) helfen, diesem Risiko zu begegnen. Vielleicht wäre es auch ein guter Zeitpunkt, die schon eine Weile zurückliegende Sensibilisierung der Mitarbeiter nachzuholen.

Sie verfügen noch über keinen Datenschutzbeauftragten? Mit einem Informationssicherheitskonzept wie dem BSI IT-Grundschutz, ISIS12 oder der Variante „Arbeitshilfe“ für kleinste Einrichtungen haben Sie zwar schon geliebäugelt, aber noch nichts dergleichen umgesetzt? Dann sprechen Sie uns gerne an. Gerne unterstützen wir Sie auch als externe Datenschutzbeauftragte und externe Informationssicherheitsbeauftragte mit unserem Team in Berlin, Simmelsdorf und München und unserer über 10 Jahre bewährten Erfahrung mit pragmatischen Lösungen.

Das Anheben der Mitarbeitergrenze für die Bestellpflicht eines Datenschutzbeauftragten senkt nicht die Bürokratie

von Sascha Kuhrau
1. Juli 2019

Datenschutz-Anpassungsgesetz 2019 und die Folgen

Die Unionsparteien lassen sich feiern bzw. feiern sich selbst. Von einem Wegfall der Bürokratie im Datenschutz für kleine Betriebe und Vereine ist die Rede. Das Thema Datenschutz sei jetzt viel einfacher und weniger aufwändig für eine Vielzahl von Betrieben und Vereinen. Anlass ist die Verabschiedung eines Anpassungsgesetzes mit notwendigen Korrekturen in 154 nationalen Gesetzen im Bundestag am vergangenen Freitag, zu nächtlicher Unzeit. Und es stimmt, eine Anpassung zahlreicher nationaler Gesetze und Regelungen war durch die DSGVO aus Mai 2018 notwendig geworden. Doch was aktuell in verschiedenen Medien als Erfolg für den Abbau von Bürokratie gefeiert wird, allen voran bei Handwerkskammern und Vereinen, das entbehrt einer Grundlage. Noch dazu zeugt es davon, dass die Beteiligten, das Thema Datenschutz und die rechtlichen Anforderungen nicht ganz umrissen haben.

Hintergrund ist die Anhebung der Mitarbeitergrenze, ab der für Unternehmen und Vereine die Bestellpflicht für einen Datenschutzbeauftragten vorliegt. War hier bisher die Grenze von mindestens 10 (mit der Verarbeitung personenbezogener Daten befassten) Mitarbeitern gezogen, soll zukünftig — die Zustimmung im Bundesrat vorausgesetzt — erst ab 20 Mitarbeitern eine Bestellpflicht für einen Datenschutzbeauftragten vorliegen. Die Verantwortlichen versprechen den betroffenen Unternehmen und Vereinen eine spürbare bürokratische Entlastung im Datenschutz. Ist dem so?

Wegfall des Datenschutzbeauftragten bedeutet weniger Datenschutz-Bürokratie?

Ein klares NEIN. Und das ist auch ganz ohne juristische Kenntnisse ganz leicht zu beantworten. Die DSGVO schreibt (wie übrigens auch das vorherige Datenschutzrecht) die Bestellpflicht eines Datenschutzbeauftragten unter gewissen Voraussetzungen vor. Ebenso beinhaltet das Bundesdatenschutzgesetz in neuer Fassung 2018 die Bestellpflicht eines Datenschutzbeauftragten und konkretisiert im Rahmen einer sog. Öffnungklausel weitere Voraussetzungen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Diese Grenze von mindestens 10 Personen für die Bestellpflicht eines internen oder externen Datenschutzbeauftragten soll nun mit den aktuellen Anpassungen, denen der Bundesrat noch zustimmen muss (was sehr wahrscheinlich ist), auf 20 Personen angehoben werden. Weder in den bisherigen Begründungen und Erläuterungen zu diesem Gesetzesentwurf noch in den zahlreichen Presseartikeln der Unionsparteien, den Befürwortern dieser Änderung oder Wirtschaftsverbänden ist jedoch eine nachvollziehbare Erklärung vorhanden, wieso dies nun weniger Bürokratie für die betroffenen Unternehmen und Vereine bedeutet.

Es wird auch sehr schwer sein, eine solche Erklärung zu finden. Denn der Datenschutzbeauftragte sorgt nicht für die Bürokratie im Datenschutz. Das übernehmen die Gesetze und teilweise auch die nicht immer klaren bzw. gelegentlich praxisfernen Auslegungen der Landesdatenschutzbehörden.

“Ja, aber jetzt müssen kleine Unternehmen und Vereine für den Datenschutz nichts mehr tun!”

Auch hier wieder eine klare Aussage: DOCH! Ohne jetzt mal eine Unterscheidung zwischen Behörden, Unternehmen oder Vereinen vorzunehmen: Ein Paragraph von 85 insgesamt im BDSG n.F. wurde angepasst, die sonstigen Anforderungen aus dem BDSG und der DSGVO (99 weitere Artikel) bleiben von der Grenze zur Bestellpflicht eines Datenschutzbeauftragten unberührt. Rechnen wir doch einfach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathematisch keine allzugroße Entlastung bei herauskommen. Denn um es mit aller Deutlichkeit zu sagen, ALLE Anforderungen, die von Unternehmen und Vereinen als bürokratische “Belastung” empfunden werden, bleiben weiterhin bestehen und müssen entsprechend erfüllt werden (einige Beispiele):

Pflicht zum Erstellen und Pflegen eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Identifikation, Bewertung und Meldung von Datenpannen an Aufsichtsbehörde und Betroffene nach Art. 33, 34 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Prüfen ausreichender technischer und organisatorischer Maßnahmen von externen Dienstleistern und Vereinbarung zur Auftragsverarbeitung gemäß Art. 28, 32 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Bearbeiten und Sicherstellen von Betroffenenrechten nach Art. 12–23 DSGVO inkl. Zusammenstellen und Zurverfügungstellen der Angaben zu den Informationspflichten? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Sicherheit der eigenen Verarbeitung regelmäßig prüfen und notwendige Anpassungen sicherstellen nach Art. 32 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Risikoabschätzung von Verarbeitungstätigkeiten bis hin zur Datenschutz-Folgenabschätzung nach Art. 32+35 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Regelmäßige Schulung und Sensibilisierung von Mitarbeitern, nicht nur am Tag der Einstellung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Und diese Liste ließe sich noch um viele weitere (durchaus auch mal) “bürokratiebehaftete” Tätigkeiten fortführen .… CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden

Die von der beschlossenen Anpassung ausgesendete Botschaft ist durchaus als toxisch zu bezeichnen. Der Fehlglaube, mit Wegfall der Bestellpflicht entfielen auch alle anderen datenschutzrechtlichen Anforderungen war auch im alten BDSG vor 2018 weit verbreitet. Aus unserer Erfahrung quälen sich seit der DSGVO gerade die Betriebe und Vereine mit dem Datenschutz am meisten, welche es in den Jahren davor unter dem alten Datenschutzrecht etwas lässig haben angehen lassen. Für diese Versäumnisse und auch die generellen rechtlichen Formalitäten im Datenschutzrecht kann der Datenschutzbeauftragte jedoch nichts. Im Gegenteil: Der Datenschutzbeauftragte wäre der ideale Ansprechpartner mit ausreichend Wissen und Sachverstand, um diese bürokratischen Anforderungen problemlos zu meistern und für eine Datenschutz-Kultur in der Organisation zu sorgen.

Datenschutzverstöße und Bußgelder werden zunehmen

Man muss kein Wahrsager sein, dass sowohl die Zahl der Datenschutzverstöße und die der Bußgelder nun zunehmen wird. Die Landesdatenschutzbehörden haben bereits in 2018, in der Planungsphase für dieses Anpassungsgesetz signalisiert, mit der vorhandenen Personalausstattung keine beratenden, sondern nur noch kontrollierende Tätigkeiten ausüben zu können. Eine Aufstockung ist nach unserem Kenntnisstand in keinem Bundesland geplant. Sorgte bisher der Datenschutzbeauftragte für das notwendige Wissen in kleinen Unternehmen und Vereinen, so geht dieses Wissen nun im Rahmen der vermeintlichen “Entbürokratisierung” von Bord. Damit stehen üblicherweise Inhaber, Geschäftsführer und Vereinsvorstände in der Pflicht, für die korrekte Umsetzung und den Betrieb des Datenschutzes Sorge zu tragen. Und da reden wir bisher nur von den Formalitäten, siehe Abschnitt zuvor. Ein aktiver Datenschutzbeauftragter ist Berater, Coach, Motivator und Kontrolleur zugleich. Ein aktiver Datenschutzbeauftragter sorgt bei guter Aufgabenerfüllung für einen gelebten Datenschutz in der Organisation. Auch diese Aufgabe obliegt nun anderen Verantwortlichen. Woher kommt der notwendige Zeitanteil dafür, wo doch alle Unternehmen personell auf spitzer Kante fahren? Woher kommt das notwendige Wissen für die korrekte Umsetzung des Datenschutzes? Wird es jetzt 4‑stündige Crash-Kurse der einschlägigen Anbieter geben “DSGVO ohne Bürokratie und Aufwand für Geschäftsführer und Vereinsvorstände”, selbstverständlich mit buntem Zertifikat auf Hochglanz? Gute Kurse zum Einstieg für einen DSB dauern 5 Tage. Und danach hat der DSB immer noch einen langen Weg vor sich, bis er weiß, was und wie es konkret zu tun ist!

Und wenn etwas passiert oder im Falle einer Überprüfung als Mangel festgestellt wird, die Haftung bleibt. Die bisherige Art von “Versicherung” oder zumindest die Möglichkeit zur Verringerung von Eintrittswahrscheinlichkeiten von Risiken und Mängeln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bundesrat nicht noch zur Vernunft kommt.

Der Bundesdatenschutzbeauftragte Ulrich Kelber twitterte nicht zu Unrecht:

Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstösse und Bußgelder sein ☹️

Im Ergebnis haben kleine Unternehmen und Vereine nur wenige Möglichkeiten:

Ignoranz des Themas Datenschutz: Siehe Haftung und Bußgelder
Eigenregie und Prinzip Hoffnung: Inhaber, Geschäftsführer oder Vereinsvorstand eignen sich in ihrer eh schon knappen Zeit das notwendige Know How an, halten dieses aktuell und kümmern sich um die korrekte Umsetzung in der eigenen Organisation. Wie realistisch wird das sein?
Externes Know How zukaufen: Da das notwendige Wissen und die Möglichkeit zur Weiterbildung nicht gegeben sind, wird das Know How extern zugekauft
Internen Mitarbeiter für das Thema Datenschutz ausbilden und Aufgaben übertragen: Kosten für die Aus- und Weiterbildung, notwendige Zeitanteile müssen eingeplant werden

Übrigens sind die Varianten 3 und 4 ganz nah am externen und internen Datenschutzbeauftragten. Und ob Varianten 1 und 2 so geschickt sind, die Erfahrung muss jetzt jeder Verantwortliche für sich selbst machen. Sofern dieser in Betracht zieht, die Aufweichung zur Grenze der Bestellpflicht nach oben für die eigenen Organisation zu nutzen.

Was hätte der Gesetzgeber besser machen können?

Die Sinnhaftigkeit der Anhebung der Grenze für die Bestellpflicht eines Datenschutzbeauftragten kann man durchaus in Zweifel ziehen. Dabei hätte der Gesetzgeber — zumindest in Teilen — durchaus die Möglichkeit gehabt, für Klarheit zu sorgen. Diese wurde jedoch versäumt. So hätte der immer noch schwelende Konflikt mit dem Recht auf freie Meinungsäußerung und dem Recht auf informationelle Selbstbestimmung auch oder gerade im Rahmen journalistischer Tätigkeiten gelöst werden können. Ein paar klärende Paragraphen zu der noch immer herrschenden Unsicherheit beim Anfertigen und Nutzen von Fotografien im Konflikt mit dem KUG hätten durchaus auch Charme gehabt. Ob es zweckdienlich für das Thema Datenschutz ist, das BSI von Teilen der Betroffenenrechte zukünftig auszunehmen und die Rechenschaftspflicht hier einzuschränken, darf durchaus auch in Zweifel gezogen werden. Man hätte sich aber auch um den vom Bundesverfassungsgericht vor kurzem für ungültig erklärten § 4 Abs. 1 BDSG zur Videoüberwachung kümmern können oder zumindest klarstellen können, dass europäisches Recht hier gilt. Da kann man es auch nur noch mit einem leichten Schmunzeln zur Kenntnis nehmen, dass jetzt auch der Digitalfunk der Polizei einer 75-tägigen Vorratsdatenspeicherung unterworfen werden soll. Und das, wo die aktuelle Frist von 70 Tagen zur Zeit ausgesetzt ist und vor dem Bundesverfassungsgericht geklärt wird.

Es gibt viel Verbesserungspotential im Bereich Datenschutz, gar keine Frage. Einheitliche und praxisnahe Auslegungen seitens der Landesdatenschutzbehörden hätten enormes Potential, auch die Akzeptanz des Themas Datenschutz generell zu erhöhen. Hier kann der Gesetzgeber jedoch nicht regelnd eingreifen, außer man würde die Landesdatenschutzbehörden auflösen und in einer zentralen Organisation des Bundes zusammenfassen. Stattdessen wird nun in kleinen Schiffen und Booten der Lotse von Bord geschickt. Die Zukunft wird zeigen, ob die gewünschte Entbürokratisierung damit Einzug hält. Es steht nicht zu vermuten.

Übrigens ein Schelm, wer Böses dabei denkt: Der Passus zur Anhebung der Grenze von 10 auf 20 Mitarbeiter wurde erst Montag, den 24.06.2019 — also sehr kurzfristig vor der Verabschiedung am Freitag im Bundestag — (wieder) eingefügt.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Keine Panik: Die EU-Datenschutzgrundverordnung kommt

von Sascha Kuhrau
11. Juni 2017
4 Kommentare

Wer die letzten Woche und Monate die Meldungen in den Nachrichten, auf Blogs, in sozialen Netzwerken und auch per Post verfolgt, kann es nur mit der Angst bekommen. Da kommt die EU-Datenschutzgrundverordnung im Mai 2018 auf Unternehmen und Behörden zu und man könnte meinen, die Welt stehe kurz vor ihrem Untergang. Einzige Abhilfe natürlich, jetzt schnell diverse Seminare buchen oder diverse Literaturzusammenstellungen kaufen. Doch ist das wirklich so schlimm, was da auf Unternehmen und Behörden zu kommt?

Rechtliches zur EU-Datenschutzgrundverordnung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein hartes Umschalten zwischen unseren bisherigen nationalen Datenschutzgesetzen und der EU-DSGVO geben. Sind wir bis zu diesem Termin noch an das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze gebunden, so werden diese zum og. Termin durch die EU-DSGVO verdrängt. Hinzu kommen in den EU-Mitgliedsstaaten mögliche Anpassungsgesetze, in Deutschland für Bund und Länder jeweils separat. Diese beruhen auf den sogenannten Öffnungsklauseln in der EU-DSGVO, zu denen die Mitgliedsstaaten eigene nationale Regeln ergänzen können. Der Spielraum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu widersprechen sein.

Vor diesem Hintergrund ist auch der Arbeitstitel “BDSG-neu” für das deutsche Anpassungsgesetz nicht ganz korrekt. Daher heißt es auch im richtigen Wortlaut “Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)” und wurde gerade nach einigen Diskussionen verabschiedet. Einerseits sind die Datenschutzbeauftragten der Länder nach wie vor nicht ganz zufrieden, andererseits haben die verschiedenen Lobbygruppen zur Aufweichung des bisherigen Datenschutz-Niveaus ebenfalls Federn lassen müssen. Eine EU-weite Harmonisierung eines solchen Themas wird immer ein Kompromiss sein. Dieser ist im Falle der EU-DSGVO erfolgt. Ob es wirklich der Meileinstein wurde, der von zahlreichen Beteiligten ausgerufen wird, das wird die Zukunft zeigen.

Von den Anpassungsgesetzen in den Bundesländern ist bisher wenig bis nichts zu sehen. Belastbare Rechtskommentare — zumindest zur EU-DSGVO selbst — erscheinen in den letzten Wochen vermehrt. Kommenatare zum DSAnpUG sind noch abzuwarten, bis zum Erscheinen brauchbarer Kommentare zu den Anpassungsgesetzen der Bundesländer wird noch mehr Zeit verstreichen. Nicht viel anders sieht es mit brauchbaren Vorlagen z.B. zu Änderungen in der Auftragsdatenverarbeitung oder mit Prüf- und Checklisten aus, die eine gezielte Vorbereitung und Umsetzung ermöglichen.

Dies merkt auch der Bayerische Landesbeauftragte für den Datenschutz auf seiner Webseite korrekterweise im Mai 2017 an:

In diesem Zusammenhang ist zu beachten, dass die Datenschutz-Grundverordnung gerade für den öffentlichen Bereich eine Vielzahl von sogenannten “Öffnungsklauseln” vorsieht, die der Ergänzung bzw. Ausfüllung durch die mitgliedstaatlichen Gesetzgeber bedürfen. Bis die diesbezüglichen Gesetzgebungsverfahren — insbesondere auf bayerischer Ebene — abgeschlossen sind, kann daher zu bestimmten Themen nur eine vorläufige Darstellung unter dem Vorbehalt späterer nationaler Regelung erfolgen.

Grund zur Panik?

Die Uhr tickt, das steht fest. Dies ist jedoch kein Grund zur Panik. Die Grundsätze wie Verbotsgesetz mit Erlaubnisvorbehalt (Rechtsvorschrift, Vertrag, Einwilligung) bleiben uns erhalten. Grundlegende Verfahrensweisen bleiben identisch, bekommen teilweise nur einen anderen Namen (Verfahrensverzeichnis wird zum Verzeichnis der Verarbeitungstätigkeiten). Die Regelungen zur Bestellpflicht eines (internen oder externen) Datenschutzbeauftragten wurden in das Anpassungsgesetz übernommen. Für Unternehmen ändert sich hier nichts. In einigen Bundesländern wie Bayern war bisher für kommunale Einrichtungen nur die Bestellung eines internen Datenschutzbeauftragten möglich, in einigen Bundesländern wurde die Bestellung auf freiwilliger Basis erwähnt (intern oder extern). Dies wird durch die EU-DSGVO harmonisiert und ab Mai 2018 müssen alle kommunale Einrichtungen einen Datenschutzbeauftragten bestellt haben und diese Bestellung kann selbstverständlich auch extern erfolgen (beachten Sie hierzu auch unser Angebot “Externer Datenschutzbeauftragter für bayerische Kommunen”).

Also alles nur Panikmache?

Nein, selbstverständlich bringt die EU-DSGVO auch Neuerungen und Änderungen mit sich. Statt der nur gelegentlich durchzuführenden Vorabkontrolle wird es nun die sogenannte Risikofolgenabschätzung geben. Diese ist auch öfter durchzuführen als bisher. Die Rechte der Betroffenen werden erweitert. Neben den bekannten Rechten auf Auskunft, Löschung und / oder Sperrung kommt das Recht auf Datenübertragbarkeit hinzu. Die Vereinbarungen zur Auftragsdatenverarbeitung mit bestehenden Dienstleistern sind zu aktualisieren, sobald hier sinnvolle Vorlagen vorliegen. Neu hinzu kommen Datenschutz durch Technikgestaltung und Datenschutz durch Voreinstellung (privacy by design und privacy by default). Beides konsequente Fortführungen der bisherigen Prinzipien Datenvermeidung und Datensparsamkeit. Weiterhin wurden die Dokumentationspflichten erweitert. Mehr Vorgänge und Entscheidungen als bisher sind schriftlich nachvollziehbar festzuhalten. Hier werden unsere Kunden bereits durch die Nutzung unserer vollverschlüsselten Projektplattform bestens unterstützt. Weitere Änderungen und Anpassungen sind absehbar. Doch ein Grund zur Panik ist das nicht.

Interessanterweise spielt das Thema Informationssicherheit (endlich) eine wichtigere Rolle und findet sich inhaltlich auch in der EU-DSGVO wider. Organisationen sind gehalten, ausreichende Maßnahmen zur Informationssicherheit (nicht IT-Sicherheit!) einzuführen, um den Schutz personenbezogener Daten (und im eigenen Interesse generell für interne schützenswerte Informationen) einzuführen und zu betreiben. Der Grad der Informationssicherheit wird sich bei Verstößen auf die Höhe der Strafen auswirken. Mehr Infos zum Thema Informationssicherheit finden Sie auf unserem Blog zur Informationssicherheit. Gerne unterstützen wir Sie neben den Datenschutz-Themen auch bei Einführung und Betrieb eines Informationssicherheitskonzepts.

Für eine korrekte Umsetzung und Anpassung empfiehlt es sich, belastbare Rechtskommentare und auch Vorlagen sowie Stellungnahmen der für Ihre Organisation jeweils zuständigen Datenschutzaufsicht abzuwarten. Wer bisher nach Bundesdatenschutzgesetz oder Länderdatenschutzgesetz korrekt gearbeitet hat, muss nicht Schlimmes befürchten. Diese Rechtsgrundlagen fallen zwar weg, inhaltlich finden sich weite Teile davon in der EU-DSGVO und dem DSAnpUG wider. Das wird bei den Anpassungsgesetzen in den Bundesländern nicht viel anders sein.

Konzerne mit internationalen Verflechtungen stehen da vor größeren Herausforderungen als national agierende Unternehmen oder Kommunaleinrichtungen. Jedoch sollte man sich von der Panikmache nicht anstecken lassen. Sofern Grundlagen des bisherigen Datenschutzrechts in Ihrer Organisation vorhanden sind und aktuell gehalten werden, wird es zwar Anpassungsaufwand geben, dieser wird jedoch überschaubar bleiben. Wer sich bisher um das geltende Datenschutzrecht nicht gekümmert hat, der wird einen großen Berg Arbeit vor sich sehen. Für diese Einrichtungen heißt es, frühzeitig Gas zu geben — und wenn es zu Beginn noch auf den Vorlagen und Materialien zum BDSG oder der Landesdatenschutzgesetze geschieht.

Tipps / Hinweise

Die Landesdatenschutzbehörde Niedersachsen hat einen (noch) recht allgemeinen Leitfaden für Unternehmen bereitgestellt. Sie finden diesen hier.

Immer einen Abstecher für Informationen wert, sind die folgenden Webseiten / Blogs:

Die Beitragsserie “Die EU-DSGVO ist da” von Frau RAin Nina Diercks.
Die Webseite mit Tipps und Tricks samt Vorlagen des “Datenschutz-Guru” RA Stephan Hansen-Oest.
Unser Partnerblog “Datenschutzbeauftragter Info” mit aktuellen Informationen zur EU-DSGVO.

Wir werden in den nächsten Wochen und Monaten ebenfalls sukzessive nach Erscheinen belastbarer Vorlagen und Kommentare weitere Beiträge zur EU-DSGVO hier veröffentlichen.

Und jetzt … Ruhig Blut!

Datenschutzbeauftragter

Euro­pa­tag 2020 — Vide­orei­he des LfDI

Jubi­lä­um — 70 Jah­re EU und der Daten­schutz zum Euro­pa­tag 2020

Vide­orei­he des LfDI

Das aktu­el­le Video zum Euro­pa­tag 2020

Wei­te­re Epi­so­den zum Datenschutz

Trai­ning und Betreu­ung von Datenschutzexperten

Coro­na App und Daten­schutz — ein Update und vie­le Grüße

App Lösun­gen gegen Coro­na

EU-Kom­mis­si­on zu der Ver­ar­bei­tung von sen­si­blen Daten und der Coro­na App

Inhaltli­che Anfor­de­run­gen

Emp­feh­lun­gen auch zu Gestal­tung einer Coro­na App

Kri­sen­be­ding­ter Umgang mit sensi­blen per­so­nen­be­zo­ge­nen Daten

Eine Coro­na App in der Pra­xis

Infor­ma­ti­ons­si­cher­heit — IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 — Teil 2

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler

2019-12 — Daten­pan­ne bei der Luft­hansa

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin

Hack­ing, Sicher­heits­lü­cken und pro­mi­nen­te Daten­pan­nen aus 2019 und 2020 — Teil 1

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet

2019-08 — Daten­pan­ne im Hau­se Twit­ter

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten

BSI warnt vor Ger­man­Wi­per: Löschen statt Ver­schlüs­seln ist die Devi­se die­ses Trojaners

Das Anhe­ben der Mit­ar­bei­ter­gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten senkt nicht die Bürokratie

Daten­schutz-Anpas­sungs­ge­setz 2019 und die Folgen

Weg­fall des Daten­schutz­be­auf­trag­ten bedeu­tet weni­ger Datenschutz-Bürokratie?

“Ja, aber jetzt müs­sen klei­ne Unter­neh­men und Ver­ei­ne für den Daten­schutz nichts mehr tun!”

Daten­schutz­ver­stö­ße und Buß­gel­der wer­den zunehmen

Was hät­te der Gesetz­ge­ber bes­ser machen können?

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kei­ne Panik: Die EU-Daten­schutz­grund­ver­ord­nung kommt

Recht­li­ches zur EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO)