Home / Aktuelles & Termine / it.sec blog

Auskunftsrecht im Arbeitsverhältnis

04.05.2021 08:54

Carmen Ströhl

Tags: 2 AZR 342/20 , Auskunftsanspruch , Auskunftsrecht , BDSG , Datenschutz , Datenschutz-Keule , Datenschutzbeauftragter , DSGVO , Urteil BAG 27.04.2021 - 2 AZR 342/20 , § 26 Bundesdatenschutzgesetz

Einleitung

Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2016 gab es einige bemerkenswerte Versuche, den Datenschutz für unvorhergesehene Zwecke zu instrumentalisieren. Wenn auch bereichsübergreifendes Denken grundsätzlich begrüßenswert ist und Synergieeffekte fördert, so besteht glücklicherweise weitgehend Einigkeit darüber, dass die sogenannte „Datenschutz-Keule“ nicht dazu gedacht ist, Sonderkündigungsrechte in bestehende Vertragsbeziehungen einzuführen oder einander durch missbräuchliche Nutzung von Betroffenenrechten das Leben schwer zu machen.

Datenschutz im Arbeitsverhältnis

Findige Arbeitsrechtler mit Vorliebe für Prozesstaktik haben sich dieser Vorgehensweise ebenfalls bedient und zunehmend die Betroffenenrechte Ihrer Mandanten in arbeitsgerichtliche Auseinandersetzungen eingeführt.

Ohne Frage sind Beschäftigte durch die allgemeinen Vorgaben und Betroffenenrechte der DSGVO geschützt und genießen darüber hinaus auch durch den § 26 Bundesdatenschutzgesetz (BDSG) eine Sonderstellung.

Wenn sich Beschäftigte aber erst im Rahmen einer Auseinandersetzung mit dem Arbeitgeber oder anlässlich der Beendigung ihres Arbeitsverhältnisses einer vermeintlich unzureichenden Datenschutzorganisation des Verantwortlichen oder der eigenen Grundrechtsbeeinträchtigung bewusst werden, ist das zumindest ein angemessen zu würdigender Umstand.

Urteil des BAG vom 27.04.2021 - 2 AZR 342/20

Im vom BAG entschiedenen Fall ging es um eine Kündigung, die bereits nach einmonatiger Probezeit und mit Zustimmung des Betriebsrates ausgesprochen wurde. Der Kläger verlangte Auskunft über die vom Unternehmen zu seiner Person gespeicherten Daten und begehrte zudem eine Kopie des gesamten E-Mail-Verkehrs von ihm sowie aller E-Mails anderer Personen, in denen er erwähnt wird.

Die Revisionsinstanz hatte sich nur noch mit der Frage zu beschäftigten, ob dem Kläger diese Mailkopien zustehen, da die übrigen Klageforderungen bereits vom Arbeitsgericht Hameln und dem LAG Niedersachen abgewiesen wurden.

Hinsichtlich der Mailkopien, bei denen es sich direkt um personenbezogene Daten handelte, haben die Richter den Anspruch des Klägers bestätigt, der sich aus Art. 15 DSGVO herleitet.

Bezüglich der eigenen elektronischen Korrespondenz mit der Firma wurde der Anspruch jedoch abgelehnt, da dieser Schriftwechsel dem Kläger bereits bekannt war. Das deckt sich insoweit auch mit dem Grundgedanken der Art. 13 Abs. 4 und Art 14 Abs. 5 DSGVO, die den Verantwortlichen von seinen Informationspflichten befreien, sofern die betroffene Person bereits über die zutreffenden Informationen verfügt. Will ein Verantwortlicher die Auskunft verweigern, muss er zudem die Ausnahmetatbestände und Dokumentationspflichten des § 34 BDSG berücksichtigen.

Wenn der Kläger darüber hinaus seinen Anspruch auf E-Mails erstrecken möchte, in denen er lediglich in irgendeiner Weise genannt wird, so müsse er diese zumindest insoweit konkretisieren, als dass in einem Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich das Auskunftsverlangen bezieht.

Fazit

In der Sache blieben die Vorgaben der DSGVO und ihre inhaltlichen Grenzen unberührt. Letztlich stützte das Gericht die Entscheidung auf die Unbestimmtheit des Klageantrags und die fehlende Vollstreckungsmöglichkeit nach den Regeln der ZPO.

Dies kann man sowohl als Entwarnung als auch als Herausforderung betrachten. Mit Sicherheit werden in kommenden Verfahren die Klageanträge sorgfältiger und konkreter formuliert, bis dann eines Tages doch der Umfang des Auskunftsanspruches selbst geklärt werden muss.

Stefan Effmert

Volljurist

Berater für Datenschutz

Corona-Testangebote

28.04.2021 11:36

Carmen Ströhl

Tags: 20.04.2021 , Arbeitsschutzverordnung , Corona Testangebot , Datenschutzverordnung , DSGVO , DSV , erhöhter Kundenkontakt , Infektionsrisiko , Pandemiebekämpfung , Schnelltest , Testangebot , Testpflicht

Einleitung

Ab dem 20.04.2021 müssen Arbeitgeber allen Beschäftigten, die nicht ausschließlich von zu Hause arbeiten, regelmäßig einen Corona-Test anbieten. Dies regelt die jüngste Änderung der bestehenden SARS-CoV-2-Arbeitsschutzverordnung.

Gemeint sind dabei Selbsttests, welche die Beschäftigten allein und somit zum Beispiel auch zu Hause durchführen können, aber auch die Schnelltests, die von geschultem Personal durchgeführt werden.

Grundaussagen der Regelung

Abhängig vom mit dem Arbeitsplatz verbundenen Infektionsrisiko bestimmt sich die Häufigkeit der Tests. Im Regelfall muss jedem Beschäftigten min. 1 Test pro Kalenderwoche angeboten werden. Wer z.B. aufgrund häufigen oder direkten Mitarbeiter- oder Kundenkontaktes einem erhöhten Infektionsrisiko ausgesetzt ist, muss 2 Testangebote pro Kalenderwoche erhalten.

Eine allgemeine Testpflicht besteht ausdrücklich nicht, sondern lediglich eine Angebotspflicht.

Erforderliche Datenverarbeitung

Arbeitgeber müssen die Tests zur Verfügung stellen und dokumentieren, dass sie die Tests angeschafft haben und die notwendigen Kapazitäten anbieten. Sie müssen zudem dokumentieren, dass die Beschäftigten das erforderliche Testangebot erhalten haben.

Nicht dokumentiert werden muss, dass das Testangebot auch in Anspruch genommen wurde. Die datensparsamste Lösung ist also, die Tests im Betrieb entsprechend zur Verfügung zu stellen.

Alternativ können die Tests den Beschäftigten auch nach Hause geschickt werden, dazu ist allerdings wieder die Verarbeitung personenbezogener Daten erforderlich und der Versand muss dokumentiert werden.

Ein berechtigtes Interesse des Arbeitgebers ist die Steuerung und Kontrolle von Kapazitäten. Dazu kann es legitim sein, die Ausgabe der Schnelltests an Mitarbeiter zu dokumentieren, um sicherzustellen, dass die erforderliche Mindestanzahl für den Tätigkeitsbereich gewährleistet wurde. Zudem kann dadurch auch die übermäßige Mitnahme von Schnelltests verhindert werden, denn diese könnte die Verfügbarkeit für andere Beschäftigte beeinträchtigen und für den Verantwortlichen übermäßige Kosten verursachen.

Testergebnisse müssen und dürfen grundsätzlich nicht dokumentiert werden. Diese unterliegen als Gesundheitsdaten gemäß Art. 9 DSGVO einem besonderen Schutz.

Lediglich in einigen besonderen Bereichen und Bundesländern gelten Sonderregelungen, die eine Testpflicht vorsehen und somit auch die Dokumentation der Durchführung des Tests erfordern (z.B. Pflegepersonal, medizinisches Personal, Verkaufspersonal).

Bei Arbeitnehmerüberlassung ist grundsätzlich der Entleiher für das Testangebot verantwortlich. Verleiher sollten im Rahmen ihrer Fürsorgepflichten auch im Auge behalten, dass beim Entleiher keine unzulässige Datenverarbeitung im Zusammenhang mit Corona-Tests erfolgt.

Informationspflichten

Wenn sich Verantwortliche für das praktische Angebot durch die allgemeine Ausgabe der Selbsttests entscheiden, müssen keine datenschutzrechtlichen Informationen erteilt werden.

Erfolgt eine Steuerung der Kapazitäten aufgrund berechtigter Organisationsinteressen, ist die Rechtsgrundlage Art. 6 Abs. 1 S. 1 f) DSGVO und die betroffenen Personen müssen auf ihre Widerspruchsmöglichkeit hingewiesen werden. Regelmäßig dürften die Organisationsinteressen des Verantwortlichen zwar überwiegen, doch das ist im Einzelfall zu entscheiden.

Unterliegen der Verantwortliche und seine Beschäftigten besonderen bereichs- oder länderspezifischen Regelungen, die sich auf Datenerhebung und Datenverarbeitung auswirken, so ist darüber zu informieren. Rechtsgrundlage ist in diesem Fall die rechtliche Verpflichtung nach Art. 6 Abs. 1 S. 1 c) DSGVO sein.

Fazit

Die Verordnungen im Rahmen der Pandemiebekämpfung sind zahlreich und variieren in den einzelnen Bundesländern. Sie werden zudem regelmäßig überarbeitet und angepasst.

Verantwortliche müssen diese Veränderungen im Blick behalten und gegebenenfalls reagieren.

Achten Sie auf die Datensparsamkeit und konzentrieren Sie sich auf die effektive Umsetzung der Maßnahmen, zu denen Sie rechtlich verpflichtet sind. Kontaktnachverfolgung ist Aufgabe der Gesundheitsämter und sollte nicht ohne rechtliche Grundlage von Arbeitgebern übernommen werden.

Stefan Effmert

Volljurist

Berater für Datenschutz

it.sec Security Team findet unbekannte Schwachstelle in Google Cloud Plattform (GCP)

22.04.2021 09:27

Carmen Ströhl

Tags: Base64 Decodierer , Cross Site Scripting , GCP , Google IAP , Manipulation von Requests , Schwachstelle in Google Cloud Plattform , Self-XSS , Virtual Private Network , XSS

Im Zuge eines Kundenprojekts konnte das Research Team der it.sec GmbH eine bisher unbekannte Schwachstelle in der Google Cloud Plattform (GCP) identifizieren und ausnutzen. Hierbei handelte es sich um die Manipulation von Requests, welche im Zuge der Autorisierungsprüfung beim Zugriff auf durch den Google Identity-Aware Proxy (IAP) geschützte Webanwendungen automatisch gesendet wurden. Bei der Schwachstelle handelte es sich um ein Cross Site Scripting (XSS).

Google IAP erlaubt es, den Zugriff auf Anwendungen oder virtuelle Maschinen in der GCP zu steuern. Dabei können Administratoren festlegen, welche Identitäten, unter welchen Bedingungen Zugriff auf bestimmte Ressourcen erhalten sollen. Die Identitäten sind dabei entweder Google-Benutzerkonten, oder es werden externe Identitäten über Protokolle wie OAuth oder SAML angebunden. Der Zugriff erfolgt dann über einen Login im Browser des Benutzers. Die Verwendung von Virtual Private Network (VPN) Technologien kann so vermieden werden.

Die Schwachstelle befand sich im Base64 Decodierer des Google IAP. Der Decodierer und somit die Schwachstelle konnte an zumindest 2 Stellen in der GCP identifiziert werden. Der IAP arbeitet mit JWTs (JSON Web Token), welche sowohl als Cookie als auch als Bearer Token zur Authentifizierung und Autorisierung gegen den IAP und folglich die geschützten Applikationen dienen.

Wie funktioniert IAP

Nach der Google-Authentifizierung wird ein GET-Request an die Applikation und somit an den IAP gesendet. Ist der Google-Account berechtigt, wird der Benutzer zur gewünschten Applikation weitergeleitet, andernfalls wird mit einer Fehlermeldung seitens des IAP geantwortet. Wird bei dem GET-Request ein ungültiges Cookie verwendet, erfolgt eine Weiterleitung zum Google-Login.

Der Fehler

Anders war dieses Verhalten jedoch, wenn eine POST-Request gesendet wurde. Hier wurde eine Fehlermeldung ausgegeben, bei welcher das Cookie oder der Bearer Token in der Antwort enthalten war.

Wird ein Wert, welcher vom Benutzer manipuliert werden kann, in der Antwort „reflected“, also gespiegelt, ist ein Cross Site Scripting (XSS) meist nicht weit. Auch in diesem Fall konnte das Cookie oder der Bearer Token nahezu beliebig manipuliert werden und der eingeschleuste JavaScript Code wurde vom Base64-Dekodierer des IAP gespiegelt. Folglich wurde der JavaScript Code im Browser ausgeführt.

Nun ist dies ein sogenanntes „Self-XSS“, also ein Cross Site Scripting, womit sich der Angreifer nur selbst angreifen kann, da in der Regel weder ein Cookie noch ein Bearer Token bei einem anderen Nutzer gesetzt werden kann. Die Schwachstelle ist also nur in Verbindung mit anderen Schwachstellen ausnutzbar.

Angriff über Sub-Domain

Unternehmen in der Google-Cloud oder Nutzer von Cloud-Diensten verwenden häufig eine sehr hohe Anzahl verschiedener Domains und darunterliegende Sub-Domains für ihre Dienste. Neben firmeneigenen Servern können solche Sub-Domains auch auf externe Infrastruktur verweisen.

Beispielsweise könnte eine Sub-Domain auf eine auf GitHub betriebene Webseite verweisen (sogenannte GitHub Pages). Wird diese Webseite dann später gelöscht, jedoch das Löschen der Sub-Domain vergessen, so kann ein Angreifer versuchen, die entsprechende Webseite neu zu erstellen. Gelingt dies, so ist der Angreifer in der Lage, unter dieser Sub-Domain eine beliebige Webseite zu betreiben. Für Besucher würde es wirken, als wäre dies eine Webseite des Unternehmens. Dieser Angriff wird „Sub-Domain Takeover“ genannt.

Würde also ein Angreifer eine Sub-Domain derjenigen Domain übernehmen, unter der ein Unternehmen eine durch Google IAP geschützte Webanwendung betreibt, so könnte der Angreifer von dieser Webseite aus Cookies in den Browsern der Benutzer setzen. Diese Cookies können so gesetzt werden, dass sie auch für die übergeordneten Domains gültig sind. Insbesondere könnte ein Cookie GCP_IAAP_AUTH_TOKEN_{cookie_id} mit beliebigem Wert gesetzt werden. Die cookie-id bleibt übrigens bei jedem Kunden gleich und kann mit einem kurzen Loginversuch identifiziert werden. Die cookie_id bleibt übrigens bei jedem Kunden gleich und kann mit einem kurzen Login Versuch identifiziert werden.

Proof of Concept (PoC)

Wir führen nun kurz vor, wie ein solcher Angriff vonstattengehen könnte. Dabei gehen wir von folgendem Szenario aus:

Die it.sec GmbH hat betreibt unter der URL https://iap.itsec.de eine durch Google IAP geschützte, geschäftskritische Webanwendung. Früher gab es eine Sub-Domain https://evil.iap.itsec.de, welche jedoch in Vergessenheit geraten ist. Ein Angreifer hat dies genutzt und unbemerkt Kontrolle über diese Domain erlangt.

Der Angreifer schreibt nun einen Webserver, mit dem er die Benutzer von https://iap.itsec.de angreifen möchte. Der Server wurde in Python geschrieben, siehe hier.

Die Funktionsweise ist wie folgt:

  1. Ein Besucher bekommt bei jeder Anfrage die in den Zeilen 7 bis 12 zu sehende HTML-Seite ausgeliefert. Sie enthält eine HTML-Form, welche einen POST-Request an die Zielseite https://iap.itsec.de auslöst. Außerdem lädt sie eine JavaScript-Datei https://evil.iap.itsec.de/attack.js nach.
  2. Der Webserver des Angreifers liefert bei Anfrage dieser JavaScript-Datei den in Zeile 15 bis 16 gezeigten Code aus. Dieser setzt ein Cookie „GCP_IAAP_AUTH_TOKEN_{cookie_id}“ für die Domain iap.itsec.de, wobei die Cookie ID ein für jede durch IAP geschützte Anwendung eindeutiger Wert ist. Diesen muss der Angreifer vorher durch Besuch von https://iap.itsec.de aus dem Cookie auslesen, den IAP dort setzt.
    Nach Setzen des Cookies sorgt der JavaScript-Code dafür, dass die Form abgesendet, also der POST-Request an https://iap.itsec.de ausgelöst wird.
  3. Der im Cookie enthaltene Wert wird dabei vom IAP dekodiert. Da kein gültiger JWT enthalten ist, gibt der IAP eine entsprechende Fehlermeldung aus, welche den Code
    <script>eval(atob('{payload}'))</script> in die Seite einbettet. Der Payload ist dabei selbst der Base64-kodierter JavaScript-Code alert("XSS on " + document.domain). Dieser wird von der Funktion atob dekodiert, danach von eval ausgeführt. Auf diese Weise ist die Ausführung beliebigen JavaScript-Codes möglich. Base64-Kodierung wurde eingefügt, um eventuellen Problemen mit Sonderzeichen entgegenzuwirken.

Die Veröffentlichung der Schwachstelle erfolgte im Coordinated Vulnerability Disclosure Verfahren und somit erst nach der Behebung und offizieller Rückmeldung von Google.

Phishing-Mails, sie werden immer raffinierter!

26.03.2021 10:41

Carmen Ströhl

Tags: Betreff passt nicht , Bußgelder , Corporate Design , Datenschutz , Datenschutzbeauftragten , Drohung , DSDVO , Fehler , gefälscht Email , IT-Abteilung , Link geklickt , Link klicken , Link öffnen , Original oder Betrug , Phishing-Mail , Phishingmail , Rechtschreibung fehlerhaft , Schaden , sofort Handeln , Strafen , Stresssituation

Phishing-Mails können gerade im geschäftlichen Alltag großen Schaden anrichten und spielen auch im Datenschutz eine große Rolle.

 

Woran Sie oft sofort erkennen, ob es sich um ein Original oder um Betrug handelt, wollen wir Ihnen mit dem folgenden Blogbeitrag näherbringen:

 

Oft sieht man schon an einfachen Dingen, dass die E-Mail gefälscht wurde. Allerdings werden diese aber auch immer professioneller

 

 

  • Der Betreff passt nicht, die Anrede ist unpersönlich oder nicht wie gewohnt.
  • Die Rechtschreibung ist häufig fehlerhaft, Umlaute werden nicht richtig wiedergegeben, oder der Satzbau ist untypisch.
  • Bei einer persönlichen Anrede wird oft der Vor- und Nachname benutzt oder ein falsches Geschlecht.

 

Manche E-Mails kopieren das Layout und das Corporate Design des Unternehmens und des Absenders aber so perfekt, dass man nur schwer unterscheiden kann ob die E-Mail nun ein Original ist oder nicht.

 

Aber auch in diesen Fällen können Sie einen Betrug erkennen. Folgende Dinge haben viele Phishing-Mails gemeinsam:

 

1. Sehr dringender Handlungsbedarf

 

Die E-Mails möchten Sie zu einem schnellstmöglichen Tätigwerden zwingen, um unangenehme Konsequenzen zu vermeiden.

 

2. Konsequenzen

 

Wenn Sie nicht sofort handeln, drohen hohe Strafen, Bußgelder oder Ähnliches für Sie oder das Unternehmen.

 

3. Links oder Anhänge

 

Sie werden in der Regel aufgefordert, einen Link zu nutzen oder einen Anhang zu öffnen, um Gebühren, Strafen oder sonstige unangenehme Dinge zu vermeiden.

 

Sie haben bereits auf einen Link geklickt oder den Anhang geöffnet und im schlimmsten Fall bereits Daten weitergeben?

 

In diesem Fall kontaktieren Sie unverzüglich Ihre IT-Abteilung oder Ihren IT-Sicherheitsbeauftragten, sowie den DSB.

 

Geben Sie Acht. Gerade in Stresssituationen macht man Fehler, die einen großen Schaden für Sie und für Ihren Arbeitgeber bedeuten können.

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

Aktuelle DSGVO-Bußgelder in Europa

23.03.2021 09:52

Carmen Ströhl

Tags: Absenderinformationen irreführend , Anwesenheitskontrolle , Art 6 und 9 DSGVO , Art. 13 DSGVO , Art. 28 DSGVO , Art. 9 DSGVO , Bildrecht , Bußgelder , COVID-19-Hilfen , Datenschutz , Datenverarbeitung , DSFA , DSGVO , fehlende TOM , Fingerabdrucksystem , Fotos auf der Webseite ohne die Einwilligung , gesundheitsbedingten Abwesenheit , INPS , Kontaktaufnahme trotz Löschungsverfahren , Kooperation mit der Aufsichtsbehörde , Leads Work Limited , Löschungsverfahren , Meldevorhaben , Mieterdaten , Nationale Institut für Sicherheit , Nationale Schule für Justiz , organisatorische Absicherung , Recht am eigenen Bild , Schulungsplattform , Technische Absicherung , TOM , Überwachung , unterlassen Sicherungsmaßnahme , unverschlüsselter E-Mail Anhang , Verarbeitung von Mieterdaten , Verletzung der Meldepflicht , Veröffentlichung , Videoüberwachung der Beschäftigten , Vodafone , Weiterleitung E-Mail , Werbe SMS ohne Einwilligung , Widerspruchsrecht

Derzeit wird unsere Wahrnehmung von besonders vielen wichtigen Themen beherrscht. Zwischen Inzidenzen, Lockdowns und Schutzmaßnahmen muss das Leben weitergehen. Gerade auch durch alternative Geschäftsprozesse, die durch Geschäftsschließungen oder Meldevorgaben eingeführt wurden, sind Dauerthemen wie die Datennutzung und die dazugehörige technische sowie organisatorische Absicherung nochmals wichtiger geworden.

Die Fehler der Anderen

Um Sie vor Fehlern zu bewahren, sensibilisieren wir Sie für häufige und naheliegende Versäumnisse, die im Ernstfall zu empfindlichen Sanktionen führen können. Dazu haben wir nachfolgend einen kurzen Überblick jüngster Bußgelder für Sie zusammengestellt und die Fälle kurz beschrieben.

  • UK, £250,000 Bußgeld für das Versenden von 2,670,140 Werbe-SMS an Betroffene ohne deren Einwilligung. Innerhalb von 41 Tagen gingen über 10,000 Beschwerden bei der Aufsicht ein. Außerdem waren die Absenderinformationen irreführend und der Verantwortliche (Leads Work Limited) ließ die Marketingaktion weiterlaufen, selbst als die Aufsichtsbehörde den Fall schon untersuchte. Da der Verantwortliche auch nicht kooperativ und transparent gegenüber der Aufsicht agierte, erkannte diese keine mildernden Umstände.
  • UK, £50,000 Bußgeld für Muscle Foods Limited, wegen des Versendens von ca. 135,651,627 Werbemails und 6,354,425 Werbe-SMS ohne Einwilligungen, über einen Zeitraum von 7 Monaten.
  • Polen, ca. 30,000 EUR Bußgeld für die Verletzung von Meldepflichten. Eine unberechtigte Person erhielt von einem Mitarbeiter des Verantwortlichen (Enea S.A.) eine E-Mail, welche die persönlichen Daten von hunderten Personen enthielt. Die Daten wurden zwar in einem passwortgeschützten, jedoch unverschlüsselten E-Mail-Anhang übermittelt. Der Verantwortliche hatte den Vorfall zudem geprüft und dabei aber selbst keine Datenschutzverletzung festgestellt, die eine Benachrichtigung erfordert hätte.
  • Polen, in zwei Fällen Bußgelder (ca. 4,645 EUR und ca. 22,140 EUR) wegen der Verletzung der Pflicht zur Kooperation mit der Aufsichtsbehörde. Zum einen ging es um eine Stellungnahme zu einer Beschwerde einer betroffenen Person, zum anderen um die Aufklärung eines Datenschutzvorfalls im Zusammenhang mit einem Internetportal und der Erfassung der verwendeten TOM.
  • Polen, ca. 22,275 EUR Bußgeld wegen des Fehlens angemessener TOM. Eine Datenbank der Nationalen Schule für Justiz und Staatsanwaltschaft mit über 50.000 Betroffenen wurde innerhalb einer Schulungsplattform unbefugt weitergegeben. Weiterhin wurde festgestellt, dass ein Auftragsverarbeiter einbezogen, aber die Vorgaben des Art. 28 DSGVO nicht eingehalten wurden. Die unzureichende Bezeichnung der Betroffenen und der verarbeiteten Daten bzw. Datenkategorien und die fehlende Verpflichtung zur Weisungsgebundenheit wurden dem Verantwortlichen angelastet und der Auftragsverarbeiter ausdrücklich nicht für die Datenschutzverletzung verantwortlich gemacht.
  • Deutschland, 14,5 Millionen EUR Bußgeld gegen die Deutsche Wohnen SE noch nicht rechtskräftig. Wegen unberechtigter Verarbeitung von Mieterdaten wurde das Bußgeld von der Berliner Aufsichtsbehörde verhängt. Das Landgericht Berlin hob das Bußgeld auf, weil es nicht den Anforderungen des Deutschen Verwaltungsrechts, an die genaue Bezeichnung des Beschuldigten und der konkreten Tathandlung entsprach. Die Aufsichtsbehörde legte Beschwerde ein und hofft auf eine Klärung des Verhältnisses von DSGVO und nationalem Straf- bzw. Ordnungswidrigkeitenrecht. Die Entscheidung wird insbesondere für Konzerne mit internationalen Strukturen von großer Bedeutung sein.
  • Deutschland, 10,4 Millionen EUR gegen notebooksbiller.de wegen unzulässiger Videoüberwachung von Beschäftigten. Aufgrund eines generellen Verdachts wurden Beschäftigte an Arbeitsplätzen, in Verkaufsräumen, Aufenthaltsbereichen und im Lager über 2 Jahre hinweg per Video überwacht und die Aufnahmen lange gespeichert. Die Aufsichtsbehörde verwies darauf, dass mildere Mittel zumindest geprüft werden und konkrete Verdachtsfälle bestehen müssen.
  • Zypern, 40,000 EUR Bußgeld gegen die dortige Strombehörde wegen eines automatischen Systems zur Überwachung der gesundheitsbedingten Abwesenheit seiner Mitarbeitenden. Dabei wurden ohne gültige Rechtsgrundlage personenbezogene Daten nach Art 6 und 9 DSGVO verarbeitet und den Mitarbeitenden nicht ihr Widerspruchsrecht gem. Art. 21 DSGVO eingeräumt. Dies wäre erforderlich gewesen, da die Entscheidungsfindung Auswirkungen auf die Gesamtbewertung der Mitarbeitenden hatte.
  • Norwegen, ca. 24,000 EUR Bußgeld gegen einen unbenannten Verantwortlichen für die Weiterleitung einer E-Mail. Diese an einen Mitarbeiter adressierte E-Mail wurde an ein allgemeines Postfach des Unternehmens weitergeleitet. Dafür gab es keine Rechtsgrundlage und der Verantwortliche hatte keine Maßnahmen (TOM) implementiert, den Zugriff auf E-Mails zu regeln.
  • Spanien, 9,000 EUR Bußgeld gegen einen unbenannten Verantwortlichen für die Veröffentlichung eines Fotos auf der Webseite ohne die Einwilligung der Betroffenen. Zudem wurden die Informationspflichten (Art. 13 DSGVO) bei Erhebung der Daten nicht erfüllt.
  • Spanien, 200,000 EUR Bußgeld gegen Vodafone wegen Kontaktaufnahme via E-Mail trotz vorangegangenen Löschungsverlangens der Betroffenen. In Anbetracht der fehlenden Rechtsgrundlage im Einzelfall und zwei ähnlicher vorangegangener Fälle, wurde die Strafe verhängt. Da Vodafone einlenkte, wurde sie deutlich auf 120,000 EUR reduziert.
  • Italien, 50,000 EUR Bußgeld gegen die Gesundheitsbehörde der Emilia-Romagna für unterlassene Sicherungsmaßnahmen (TOM). Krankenhausmitarbeiter haben Familienangehörige kontaktiert und ihnen Gesundheitsdaten mitgeteilt. Da es keine gültige Rechtsgrundlage gab, stellte dies eine Datenschutzverletzung dar. Der Verantwortliche hatte keine Maßnahmen zur Datenverwaltung und eventuellen Herausgabe getroffen.
  • Italien, 30,000 EUR Bußgeld gegen eine Gesundheitsbehörde wegen der Verwendung eines Fingerabdrucksystems zur Anwesenheitskontrolle. Die Fingerabdrücke von 2,000 Mitarbeitenden wurden mit deren Personaldaten verknüpft und dazu genutzt, die Anwesenheitszeiten zu überwachen. Die verwendeten Einwilligungen der Mitarbeitenden waren zweifelhaft hinsichtlich ihrer Freiwilligkeit und der notwendigen Informationen an die Betroffenen. Die Aufsicht untersagte die weitere Datenverarbeitung.
  • Italien, 300,00 EUR Bußgeld wegen unrechtmäßiger Verarbeitung personenbezogener Daten im Zusammenhang mit der Ausschüttung von COVID-19-Hilfen. Das Nationale Institut für Sicherheit (INPS) hatte Daten von Personen, die politische Positionen innehatten, mit Daten von Personen, die COVID-19-Hilfen beantragt hatten, abgeglichen. Dabei wurden Rechtmäßigkeit und Transparenz nicht ausreichend sichergestellt und eine angesichts der sensiblen Daten notwendige DSFA unterlassen.

Fazit

Aus der Zusammenstellung wird deutlich, dass die Kooperation mit der Aufsicht stets hohe Priorität hat. Die polnische Entscheidung zur Verantwortlichkeit für AV-Verträge ist für jeden Auftraggeber alarmierend, der sich auf die Dokumente der Dienstleister verlässt oder die entsprechenden Punkte ohne eigene Kontrolle vom Dienstleister ausfüllen lässt. Fehlende oder unzureichende Rechtsgrundlagen sind ein Klassiker, führen deshalb im Wiederholungsfall oder in Verbindung mit Daten nach Art. 9 DSGVO zu deutlich schärferen Maßnahmen der Aufsichtsbehörden. Die COVID-19-Pandemie machte viele Anpassungen und neue Perspektiven notwendig. Doch das Beispiel aus Italien zeigt eindrucksvoll, dass der Datenschutz durch die Pandemie nicht ausgesetzt wurde.

Stefan Effmert

Legal Advisor

Consultant Data Protection

Hackerangriff auf Microsoft Exchange-Server

18.03.2021 09:33

Carmen Ströhl

Tags: BSI , Bundesamt für Sicherheit , CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 , Datenschutz , DSGVO , E-Mail-Kommunikation , Exchange-Servern , Hackerangriff auf Microsoft Exchange-Server , Incident Response , Incident Response Modus , Microsoft , Powershell-Skript , Schadsoftware , Schwachstellen , Sicherheitswarnung des BSI , Unternehmensnetzwerk

Am 02.03.2021 teilte Microsoft mit, dass Schwachstellen in Microsoft Exchange-Servern (=E-Mail Server) aktiv durch Hacker ausgenutzt wurden und werden. Daraufhin stellte Microsoft ein Update für die Nutzer bereit.

Was ist passiert?

Durch vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) wurde es Hackern ermöglicht, Daten abzugreifen (z.B. E-Mail-Kommunikation) und sich dadurch ggfs. Zugang zum gesamten Unternehmensnetzwerk zu verschaffen und Schadsoftware auf den Systemen zu implementieren.

Der Hackerangriff betrifft laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ca. 9.000 in Deutschland ansässige Unternehmen. Das BSI schätzt die Bedrohung als sehr hoch ein und hat bereits damit begonnen, potenziell Betroffene zu informieren. Laut Microsoft sind von dem Hackerangriff keine Privatpersonen und deren Exchange Server betroffen.

Was ist jetzt zu tun?

Sofern noch nicht erfolgt, sollten Unternehmen umgehend die von Microsoft bereitgestellten Updates implementieren, um diese Schwachstellen zu schließen. Zudem sollte von den Systemadministratoren über das von Microsoft zur Verfügung gestellte Powershell-Skript geprüft werden, ob ein Exchange-Server bereits erfolgreich angegriffen wurde. Wenn bereits ein erfolgreicher Hackerangriff stattgefunden hat, muss das Unternehmen in den Incident Response Modus wechseln und entsprechende Nachforschungen betreiben.

Genauere Ausführungen zu den Schwachstellen und zum weiteren Vorgehen entnehmen Sie der: Sicherheitswarnung des BSI.

Laura Piater

Justiziarin
Consultant für Datenschutz

Betrug im Unternehmensumfeld

17.03.2021 08:42

Carmen Ströhl

Tags: ähnliche Betrugsmaschen , Anschein , Betrüger , Betrugsmasche , Caller ID Spoofing , CEO-Fraud , Datenklau , Datenschutz , DSGVO , eigenes Unternehmen , Führungsperson , Geburtsdaten , Geldsumme , Hilfestellung , Homepage , Informationen , interne Informationen , Passwörter , persönliche Daten , Social Media Inhalt , Telefonanruf , Telefonat , Überweisung ins Ausland , Verhaltensweise , Vertrauen , Vishing , Weitergabe , Zahlungsverkehr Kontrollmechanismen , Zeitdruck , Zugang zu Daten

In Reportagen hört man immer wieder, wie Menschen auf Betrugsmaschen hereinfallen und dadurch große Geldsummen verlieren. Doch das Thema trifft nicht nur im privaten Bereich zu, sondern kann auch Mitarbeitern im Unternehmen passieren, denn die angewendeten Betrugsmaschen werden immer raffinierter.

Vishing

Beim so genannten Vishing (Kombination aus Voice und Phishing) gibt sich jemand als Person bzw. Unternehmen aus (Bsp. Experte, Mitarbeiter, Kundenunternehmen) und versucht im Gespräch Informationen über Passwörter, Geburtsdaten etc. zu erhalten. Ziel der Betrüger ist es dabei, sich Zugang zu den Daten des Unternehmens zu verschaffen für den anschließenden Datenklau.

Versierte Betrüger können durch das so genannte Caller ID Spoofing sogar den Eindruck vermitteln, von einer dem Angerufenen bereits bekannten Telefonnummer aus anzurufen. Den Betrügern gelingt es dadurch das Vertrauen der angerufenen Person zu gewinnen, um an die benötigten Informationen zu gelangen.

CEO-Fraud

Beim so genannten CEO Fraud gibt sich eine Person als Vorstandsmitglied, Geschäftsleitung oder anderen Führungsperson des eigenen Unternehmens aus. Per E-Mail oder Telefon sollen Mitarbeiter dazu bewegt werden, hohe Geldbeträge ins Ausland zu überweisen. Durch Informationen von der Homepage des Unternehmens sowie Social Media Inhalten erweckt der Betrüger den Anschein, über interne Informationen zu verfügen. Gepaart mit dem Anschein eines hohen Zeitdrucks kommen Mitarbeiter dem Zahlungswunsch schließlich nach.

Wie vermeidet man, dass Mitarbeiter auf den Betrug eingehen?

Oftmals wird die Wahrscheinlichkeit, auf diese oder ähnliche Betrugsmaschen hereinzufallen, von den Unternehmen als gering bewertet. In jedem Fall sind Unternehmen gut damit beraten, ihre Mitarbeiter regelmäßig hinsichtlich (aktueller) Betrugsmaschen zu sensibilisieren und Hilfestellungen in Form von Verhaltensweisen an die Hand zu geben (Bsp. keine Weitergabe von Passwörtern oder internen Informationen).

Zudem sind in die bestehenden Prozesse zum Zahlungsverkehr auch Kontrollmechanismen einzubauen, sodass der Betrug schnell erkannt wird und rechtzeitig gestoppt werden kann, sofern es notwendig werden sollte.

Laura Piater

Justiziarin
Consultant für Datenschutz

Urteil im Fall Deutsche Wohnen

10.03.2021 09:35

Carmen Ströhl

Tags: Aufsichtsbehörde , Bußgeld , Datenschutz , Deutsche Wohnen , DSGVO , konkrete Handlung , Landgericht Berlin , Leitungspersonen , Mängel , Mieter , personenbezogene Daten , Privacy by Design , Tathandlung , Unwirksamkeit , Vermieter , Vermietung , Verstöße

Seit Einführung der DSGVO werden Verstöße immer wieder mit hohen Bußgeldern geahndet. Auch die Deutsche Wohnen erhielt 2019 ein Bußgeld, welches nun vom Landgericht Berlin aufgehoben wurde.

 

Sachverhalt

 

Bei der Deutsche Wohnen handelt es sich um einen der größten Immobilienkonzerne in Deutschland. Im Rahmen der Vermietung werden viele personenbezogene Daten von Mietern und Interessenten verarbeitet.

 

Bereits im Jahr 2017 wurde die Deutsche Wohnen von der Aufsichtsbehörde auf Mängel hinsichtlich des Archivsystems hingewiesen. Bei einer erneuten Prüfung im Jahr 2019 konnte die Aufsichtsbehörde jedoch weiterhin gravierende Mängel feststellen.

 

Zum einen verstoße das Archivsystem der Deutsche Wohnen gegen den Grundsatz Privacy by Design gemäß Art 25 DSGVO, da das System die Löschung der personenbezogenen Daten nicht vorsieht. Dadurch befinden sich im Archivsystem Informationen, wie Gehaltsabrechnungen, Informationen aus den Arbeitsverträgen und Selbstauskünfte der Mieter. Der Vorwurf der Aufsichtsbehörde lautet weiter, dass von der Deutsche Wohnen nicht geprüft wurde, ob die Speicherung der personenbezogenen Daten rechtmäßig und erforderlich ist.

 

Die Aufsichtsbehörde verhängte daraufhin ein Bußgeld in Höhe von 14,5 Mio EUR gegen die Deutsche Wohnen. Dagegen legte die Deutsche Wohnen Einspruch ein, sodass das Landgericht Berlin mit dem Fall befasst war.

 

Entscheidung des Landgerichts Berlin

 

Das Landgericht Berlin stellte das Verfahren ein, weil der Bußgeldbescheid unwirksam sei (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az.: 526 AR). Begründet hat das Landgericht Berlin die Unwirksamkeit damit, dass im Bußgeldbescheid keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthalten seien. Zu den Datenschutzverletzungen an sich hat sich das Landgericht Berlin dabei nicht geäußert.

 

Diese Entscheidung wirft jedoch auch neue Rechtsfragen auf. Insbesondere muss geklärt werden, ob eine konkrete Handlung von Leitungspersonen oder gesetzlichen Vertretern nachgewiesen werden muss, um entsprechende Verstöße gegen die DSGVO ahnden zu können.

 

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in der Presseerklärung vom 03. März 2021 bereits zu bedenken gegeben, dass viele Verstöße gegen die DSGVO in diesen Fällen nicht mehr geahndet werden können, da der Nachweis einer konkreten Handlung eines Organs des Unternehmens - insbesondere bei Unternehmen mit komplexen Konzernstrukturen - nicht möglich sein wird. In diesem Zusammenhang würden jedoch Unternehmen mit weniger komplexen Strukturen (v.a. kleine und mittelständische Unternehmen) benachteiligt werden.

 

Ausblick

 

Auch wenn das Landgericht Berlin das Verfahren eingestellt hat, bedeutet das noch nicht, dass die Deutsche Wohnen nicht doch noch ein Bußgeld zahlen muss.

 

Denn die Staatsanwaltschaft hat gegen die Entscheidung des Gerichts bereits Beschwerde eingelegt. Im weiteren Verfahren ist zu hoffen, dass das Gericht das Verhältnis zwischen DSGVO und dem deutschen Ordnungswidrigkeitenrecht klärt.

 

Laura Piater

 

Justiziarin

Consultant für Datenschutz

Schadensersatz wegen Datenschutzverstößen

02.03.2021 09:23

Carmen Ströhl

Tags: Arbeitsagentur , Ausländerbehörde , Bankkonto , Datenschutz , Datenschutzgrundverordnung , Datenübermittlung , Dispokredit , DSGVO , Falschmeldung , Gehaltsvorstellung , Gesundheitsdaten , Identitätsdiebstahl , personenbezogene Daten , Persönlichkeitsverletzung , Rufschädigung , Schaden , Schadensersatzanspruch , Schmerzensgeld , Schufa , überzogen , Verfahren , Verlust , Xing

Auch wenn in dieser Hinsicht noch einige Fragen offen sind, nehmen die Verfahren zu Schadensersatzansprüchen nach der Datenschutzgrundverordnung (DSGVO) zu. Wir hatten hierzu auch bereits berichtet (siehe Blog "Datenschutz Bußgelder Anfang 2021"). Hier soll ein kurzer Überblick über die rechtliche Grundlage in § 82 DSGVO gegeben und diese anhand von Beispielen veranschaulicht werden.

 

Rechtliche Grundlage

 

Nach § 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Zu einem solchen Schaden können beispielsweise führen: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Kontrolle über die personenbezogenen Daten oder Einschränkung der Rechte der betroffenen Personen, Verlust der Vertraulichkeit vom Berufsgeheimnis unterliegenden Daten oder finanzieller Verlust.

 

 

Unrechtmäßige Datenübermittlung an die Schufa

 

Das Landgericht Lüneburg hat einem Kläger wegen einer unrechtmäßigen Datenübermittlung an die Schufa Schmerzensgeld in Höhe von 1.000€ zugesprochen. Der Kläger hatte ein Bankkonto mit einem Dispokredit von 1.000€, den er um 20€ überschritt. Nachdem er von der Bank hierüber informiert wurde, glich er die überzogenen 20€ aus. Die Bank meldete der Schufa danach trotzdem die Überziehung des Kontos.

 

Damit verstieß die Bank gegen die DSGVO, da sie kein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Datenübermittlung hatte. Für den Schaden ließ es das LG Lüneburg – im Gegensatz zu anderen Gerichten, die eine schwerwiegende Persönlichkeitsverletzung fordern – schon ausreichen, dass die unrichtige Meldung an die Schufa negativen Einfluss auf die wirtschaftliche Handlungsfreiheit des Kunden haben könnte, auch wenn die Falschmeldung bis zur Berichtigung nur 2 Wochen bestanden habe.

 

Falscher E-Mail-Empfänger

 

Das Landgericht Darmstadt hat einem Kläger 1.000€ Schmerzensgeld wegen einer falsch versandten Nachricht zugesprochen. Die Beklagte wollte dem Kläger, der sich bei ihr beworben hatte, eine Nachricht über Xing schicken, in der es um die Gehaltsvorstellungen des Klägers ging, versandte sie aber an eine dritte Person. Für diese Datenverarbeitung (= Versand der Nachricht) bestand jedoch keine Rechtsgrundlage, sodass ein Datenschutzverstoß vorlag. Zusätzlich lag ein Verstoß gegen Art. 34 DSGVO vor, da ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers bestand und die Beklagte den Kläger nicht unverzüglich benachrichtigte.

 

Unberechtigter Versand von Gesundheitsdaten

 

Das Arbeitsgericht Dresden hat einem Kläger 1.500€ Schmerzensgeld zugesprochen, weil die Prokuristin des Unternehmens der Ausländerbehörde und der Arbeitsagentur in einer E-Mail mitteilte, dass ein ausländischer Beschäftigter des Unternehmens arbeitsunfähig erkrankt sei und listete die Krankheitszeiten auf. Dabei handelt es sich um Gesundheitsdaten, sodass ein Verstoß gegen Art. 9 Abs. 1 DSGVO vorlag. Der immaterielle Schaden lag in der Rufschädigung des Beschäftigten und im Kontrollverlust über seine personenbezogenen Daten.

 

Fazit

 

Anhand dieser Fälle lässt sich gut erkennen, dass alltägliche Vorkommnisse, die von einigen bestimmt als „nicht so schlimm“ bewertet werden würden, durchaus (erhebliche) Auswirkungen auf die betroffenen Personen haben und somit auch einen Schadensersatzanspruch nach der DSGVO begründen können.

 

Seien Sie deshalb vorsichtig bei Datenverarbeitungen und prüfen Sie vor einer Datenübermittlung gewissenhaft, ob sie hierzu berechtigt sind und es sich auch um den richtigen Empfänger handelt.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Kabinett beschließt Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)

23.02.2021 08:00

Carmen Ströhl

Tags: Cookies , DSVGO , Einwilligung , ePrivacy , Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien , Schutz der Privatsphäre , Telekommunikation-Telemedien-Datenschutzgesetz , Telekommunikationsgesetz , Telemediengesetz , TKG , TMG , TTDSG

Am 10. Februar 2021 hat das Bundeskabinett den Entwurf zum Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (kurz: Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)) beschlossen. Durch das TTSDG soll Rechtsklarheit für den Datenschutz und den Schutz der Privatsphäre in der digitalen Welt geschaffen werden.

 

Das TTDSG vereint Datenschutzbestimmungen aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) und hat diese Regelungen auch an die europäischen Vorgaben, insbesondere die Datenschutzgrundverordnung (DSGVO) angepasst.

 

Besonders hervorzuheben ist die enthaltene Regelung zum Einsatz von Cookies. Dies ist zwar schon seit längerer Zeit durch die europäische ePrivacy-Richtlinie geregelt, wurde aber im deutschen Recht bisher nie umgesetzt. So ist im TTDSG vorgeschrieben, dass das Speichern von und der Zugriff auf Cookies nur dann erlaubt ist, wenn der Endnutzer eingewilligt hat. Diese Einwilligung hat nach der Maßgabe der DSGVO zu erfolgen, d.h. sie muss freiwillig, auf Grundlage von klaren und umfassenden Informationen erfolgen und jederzeit widerruflich sein. Eine Einwilligung soll nur dann nicht erforderlich sein, wenn die Speicherung von oder der Zugriff auf die Informationen technisch notwendig sind.

 

Nun muss der Bundestag dem Gesetzesentwurf noch zustimmen. Wir werden hierzu weiter berichten.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

« Zurück Weiter » 1 2 3 4 5 6 7 8 9 ...25

130 OWiG 2 AZR 342/20 20 Mitarbeiter 20.04.2021 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absenderinformationen irreführend Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten Active Directory Certificate Services ADCERT Adressbuch AfD Aggregierte Daten ähnliche Betrugsmaschen Airbnb Amazon amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Anschein Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit Anwesenheitskontrolle AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsagentur Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsschutzverordnung Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit Arbeitszeitgesetz ArbGG Art 6 und 9 DSGVO Art. 13 DSGVO Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 28 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 5 Abs. 1 Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftspflicht Auskunftsrecht Auskunftsverlangen Ausländerbehörde auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG Bankkonto Base64 Decodierer BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden Belarus BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Bertroebrätemoderniesierungsgesetz Berufsgeheimnis Beschäftigte Beschäftigtendaten Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten Betreff passt nicht betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher Datenschutzbeauftrage betrieblicher Datenschutzbeauftragter betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsratsvorsitzende Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte Betrüger Betrugsmasche BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrecht Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesdatenschutzgesetz Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldrahmen Bußgeldverfahren BVG C-311/18 Callcenter Caller ID Spoofing Cambridge Analytics Captcha-Funktion CEO-Fraud Certified Pre-Owned Checkliste Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Corona Testangebot Coronaimpfung Coronavirus Corporate Design COVID-19 COVID-19-Hilfen CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenklau Datenlöschung Datenminimierung Datenmissbrauch Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Keule Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzrecht Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverordnung Datenschutzverstoß Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentranfer in Drittstaaten Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Dispokredit Do not track-Funktion Dokumentation Donald Trump DoS Drittanbieter Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten Drohung DSAnpUG-EU DSDVO DSFA DSG DSGVO DSGVOÜberwachungstool DSK DSV DSVGO DSVO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen E-Mail-Kommunikation e-Privacy-Verordnung E-Rechnung E-SBC eCall-Technologie EDÖB EDPB eDSB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eigenes Unternehmen Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserfordernis Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entschädigungszahlungen Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot erhöhter Kundenkontakt Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board Evaluation abgeschlossen EWR Exchange-Servern externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Falschmeldung Fanpage Fanpagebetreiber Fax faxen Faxgerät Faxgeräte FBI FDPIC Feedback fehlende TOM Fehler Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Finbold Fingerabdruck Fingerabdruckscanner Fingerabdrucksystem Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Fotos auf der Webseite ohne die Einwilligung Framework freiwillig Frist Fristbeginn fristlose Kündigung Führungsperson Funkmäuse Funktastaturen Fürsorgepflicht GCP GDPR Geburtsdaten gefährdet gefälscht Email Gehaltsvorstellung Geheimhaltung Geldbörse Geldbußen Geldstrafe Geldsumme Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen gesundheitsbedingten Abwesenheit Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics Google IAP GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff Hackerangriff auf Microsoft Exchange-Server hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hilfestellung Hinweisgeber Hinweispflicht Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Identitätsdiebstahl Immobilienmakler Impfstatus Impfung Incident Response Incident Response Modus Infektionsrisiko Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter INPS Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität Interessenkonflikt internationaler Datentranfer interne Informationen interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Abteilung IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klartextpasswort Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Kommunikationsnetzwerke auf IP-Basis Konferenz konkrete Handlung Kontaktaufnahme trotz Löschungsverfahren Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperation mit der Aufsichtsbehörde Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Landgericht Berlin Laptop Lazarus Leads Work Limited Lebensweise Lehrer Leistungs- und Verhaltenskontrolle Leitungspersonen LfD LfDI Baden-Württemberg LfDI BW Like-Button Link geklickt Link klicken Link öffnen LLC Loginprozess Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschungsverfahren Löschverlangen Lösegeld Machtposition Mail Makler Malware Mängel Manipulation eines Request Manipulation eines Requests Manipulation von Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldevorhaben Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messenger-Dienste Messung Microsoft Microsoft Office Mieter Mieterdaten Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitarbeiterüberwachung Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung Nationale Institut für Sicherheit Nationale Schule für Justiz natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Oracle Oracle Communications Enterprise Session Border Controller organisatorische Absicherung Original oder Betrug Österreich Pandemie Pandemiebekämpfung Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personal Information Protection Law Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbezug Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Persönlichkeitsverletzung Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phishing-Mail Phishingmail Phising PIPL Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Powershell-Skript PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht am eigenen Bild Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung Rechtschreibung fehlerhaft Rechtsgrundlage rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Reschtssicherheit Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadensersatzanspruch Schadprogramm Schadsoftware Schmerzensgeld Schnelltest Schrems II Schufa Schüler Schulung Schulungsplattform Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstelle in Google Cloud Plattform Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Self-XSS Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherheitswarnung des BSI Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Media Inhalt Social Plugin sofort Handeln Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis staatliche Überwachung Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Strafen Straftaten Strafverfolgung Stresssituation Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Tathandlung Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische Absicherung Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefax Telefonanruf Telefonat Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Testangebot Testpflicht Threema Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportkontrolle Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übernahme von Windows-Domänen Übertragung Überwachung Überwachungssoftware Überweisung ins Ausland überzogen Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unlauterer Wettbewerb unpersonalisierter Benutzer-Account unterlassen Sicherungsmaßnahme Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmensnetzwerk Unternehmenssprache unverschlüsselt unverschlüsselter E-Mail Anhang Unwirksamkeit unzulässig Update Urlaub Urteil Urteil BAG 27.04.2021 - 2 AZR 342/20 US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitung von Mieterdaten Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren Verfahren C-311/18 Vergessenwerden Verhaltensweise Verkaufsraum Verlängerung Verletzung der Meldepflicht verloren Verlust Vermieter Vermietung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Vertrauen Vertrauenswürdigkeit Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokamera Attrappen Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Videoüberwachung der Beschäftigten Virtual Private Network Virus Vishing Vodafone Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weiterleitung E-Mail Weltanschauung Werbe SMS ohne Einwilligung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung Xing XSS Youtube Zahlungsverkehr Kontrollmechanismen Zeitdruck Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugang zu Daten Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 26 Bundesdatenschutzgesetz § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 7a UWG § 88 TKG §§ 30

Tags

Archiv

Dezember 2021

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31