Home / Aktuelles & Termine / it.sec blog

Datenpannen sind in der Regel nach Art. 33 Abs. 1 Satz 1 DSGVO meldepflichtig, es sei denn, sie führen voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person. Eine meldepflichtige Datenpanne muss vom Verantwortlichen innerhalb von 72 Stunden nach dessen Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden.

Oft stellt sich jedoch die Frage: Ab wann wird eine Datenpanne dem Verantwortlichen überhaupt bekannt?

Mehrere Landesbeauftragte für Datenschutz und Informationsfreiheit haben sich mittlerweile zu dieser Frage geäußert.

Der Landesbeauftragte in Bayern hat sich zur Kenntniszurechnung in Behörden geäußert. Nach dessen Ansicht wird das meldepflichtige Ereignis jedenfalls dann bekannt, wenn bestimmte Funktionseinheiten bzw. bestimmte Funktionsträger Kenntnis von dem in Rede stehenden Vorfall erlangen. Klargestellt wurde, dass dem Verantwortlichen nicht das Wissen des behördlichen Datenschutzbeauftragten zuzurechnen ist.

Der Landesbeauftragte in Hamburg vertritt die Ansicht, dass es für die Kenntnis bereits genügt, dass eine beliebige Person im Unternehmen oder der Behörde Kenntnis von dem Vorfall erlangt.

Nach Ansicht der Landesbeauftragten des Saarlandes begründet die positive Kenntnisnahme der Datenschutzverletzung durch den Verantwortlichen den Fristbeginn für die 72 Stunden. Dem Verantwortlichen ist dabei die Kenntnis desjenigen Mitarbeiters/derjenigen Mitarbeiterin zuzurechnen, der/die nach der internen Organisation für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung im Unternehmen erwartet werden kann.

Kenntnis gilt folglich eher früher als erlangt als später. Darauf sollten sich die Unternehmen einstellen. Folgt man der strengeren Ansicht aus Hamburg, so kann die Kenntnis eines jeden Mitarbeiters ausreichen, um die Frist in Gang zu setzen. Schaffen Sie also in Ihrem Unternehmen immer ein ausreichendes Risikobewusstsein bei allen Ihren Mitarbeitern im Umgang mit Daten und Datenpannen.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

 

Während der Arbeit in der Corona-Krise müssen oft viele Informationen schnell ausgetauscht werden. Dazu kommt, dass viele Mitarbeiter im Home Office arbeiten und die Umstellung darauf unter Umständen sehr schnell erfolgte. Das erhöht die Gefahr einer Datenschutzverletzung, d.h. von Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten.

 

Allgemein gilt: Sie sollten immer gewissenhaft mit personenbezogenen Daten wie beispielsweise Namen und Adressen umgehen. Seien Sie besonders vorsichtig beim Umgang mit sensiblen Daten wie Gesundheitsdaten, Daten über politische Meinungen oder zu religiösen oder weltanschaulichen Überzeugungen.

 

Hier sind noch einige organisatorische Tipps, die Ihnen dabei helfen sollen personenbezogene Daten zu schützen und Datenschutzverletzungen zu vermeiden:

 

  • Beachten Sie bei der Erstellung neuer Formulare alle Sicherheitsmaßnahmen, damit personenbezogene Daten sicher aufbewahrt und nicht unbeabsichtigt weitergegeben werden können.
  • Stellen Sie bei der Verwendung von Vorlagen zur Erfassung personenbezogener Daten sicher, dass stets eine leere/unbenutzte Vorlage ausgegeben wird.
  • Benutzen Sie komplexe Passwörter und für jeden Dienst/jede Anwendung ein eigenes Passwort. Dabei können Sie unterstützend ein Passwort-Verwaltungsprogramm einsetzen.

 

Bei der Arbeit im Home Office sollte folgendes beachtet werden:

 

  • Weisen Sie Ihre Mitarbeiter im Home Office darauf hin, dass auch weiterhin auf einen sicheren E-Mail-Versand geachtet werden muss, d.h. insbesondere: Kontrolle der Empfänger und Anhänge und Verwendung der BCC-Funktion.
  • Bei der Arbeit im Home Office mit personenbezogenen Daten, für die der Arbeitgeber verantwortlich ist, muss die Sicherheit der Daten an diesen Verarbeitungsstandorten ebenso gewährleistet sein. Es muss sichergestellt sein, dass keine unbefugte Einsichtnahme auf den Bildschirm oder in Papier-Unterlagen durch Dritte stattfinden kann – das umfasst auch Familienmitglieder oder Mitbewohner!

 

Sollte es dennoch zu einer Datenschutzverletzung kommen, melden Sie diese unverzüglich Ihrem Datenschutzbeauftragen, damit dieser eine Risikoabwägung durchführen kann und ggf. eine Meldung der Datenschutzverletzung innerhalb der Frist des Art. 33 DSGVO an die Aufsichtsbehörde erfolgen kann.

 

 

 

Working during the corona crisis, a lot of information often has to be exchanged quickly. In addition, many employees now work from home and the transition to it may have taken place very quickly. This increases the risk of a data breach, i.e. the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data.

 

In general, you should always handle personal data such as names and addresses conscientiously. Be especially careful when handling sensitive data such as health data, data on political opinions or on religious or ideological beliefs.

 

Here are some organizational tips to help you protect personal data and prevent data protection violations:

 

  • When creating new forms, take all security measures to ensure that personal data is kept secure and cannot be inadvertently disclosed.
  • When using templates to enter personal data, ensure that an empty/unused template is always output.
  • Use complex passwords and a separate password for each service/application. You may use a password management program to help you do this.

 

The following should be observed when working in the home office:

 

  • Point out to your home workers that they must continue to ensure secure e-mail transmission, in particular by checking the recipients and attachments and using the BCC function.
  • When working from home with personal data for which the employer is responsible, the security of the data at these processing locations must also be guaranteed. It must be ensured that no unauthorised access to the screen or to paper documents by third parties can take place - this includes family members or flatmates!

 

Should a data breach occur nevertheless, please report it immediately to your data protection officer so that he can weigh up the risks and, if necessary, report the data breach to the supervisory authority within the period stipulated in Art. 33 GDPR.

 

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Herr Penibel kauft drei Schalen mit Erdbeeren aus dem Supermarkt, die angeblich alle 500 g. Erdbeeren enthalten sollen. Zu Hause wiegt er die Schalen nach. Siehe da: Eine Schale wiegt 480 g., die zweite 475 g. und die dritte gar nur 460 g. Herr Penibel ist sauer und möchte gegen den Supermarkt vorgehen. Er fühlt sich getäuscht und in die Irre geführt. Er lässt den Supermarkt abmahnen, verlangt von ihm neben der Erstattung der Anwaltsgebühren auch noch eine Verpflichtung, für jeden künftigen Fall der Zuwiderhandlung eine Vertragsstrafe von 5000 Euro an ihn zu zahlen.

Szenenwechsel:

Herr Abmahnus betreibt ein kleines Lohnbüro und hat eine eigene Homepage. Er findet auf den Webseiten der Konkurrenz Datenschutzerklärungen, die den Vorgaben der DSGVO nicht entsprechen. Er vermutet, dass dadurch seine Kunden getäuscht und in die Irre geführt werden und seine eigenen Geschäfte daher schlecht laufen. Er lässt den Wettbewerber abmahnen, verlangt von ihm neben der Erstattung der Anwaltsgebühren auch noch eine Verpflichtung, für jeden künftigen Fall der Zuwiderhandlung eine Vertragsstrafe von 5000 Euro an ihn zu zahlen.

Die beiden geschilderten Szenen sind nicht vergleichbar? Doch!

Bereits in unserem Blog-Artikel vom Mai haben wir darauf hingewiesen, dass wir bezweifeln, dass es sich bei den Vorschriften der DSGVO um Normen mit wettbewerbsrechtlichem Charakter gem. § 3a UWG (Gesetz gegen den Unlauteren Wettbewerb) handelt.

Prof. Dr. Köhler hat nun in seinem Aufsatz der neuen Zeitschrift für Datenschutz (ZD 2018, 337f.) ausführlich dargelegt, dass seines Erachtens ein solcher Zusammenhang nicht besteht. Er weist zum einen darauf hin, dass § 3a UWG dann nicht anzuwenden sei, wenn für einen Sachverhalt eine abschließende Regelung getroffen wurde. Eine solche abschließende Regelung im Rahmen der DSGVO sei durch die Art. 77 ff. DSGVO geschaffen worden. Die in Art. 80 Abs. 2 DSGVO aufgezählten Institutionen seien abschließend durch den Gesetzgeber berechtigt worden, eine Beschwerde einzulegen, wenn die Rechte einer betroffenen Person infolge einer Datenverarbeitung nach DSGVO verletzt worden seien. Weitere Berechtigte – also konkret: „Mitbewerber“ – seien nicht vorgesehen und diese seien auch nicht durch Auslegung oder Analogien zu der Vorschrift mit umfasst.

Zum anderen stellt Prof. Dr. Köhler heraus, dass die Schutzzweckbestimmungen der beiden Vorschriften deutlich voneinander abweichen. Während das UWG die Marktteilnehmer vor unlauteren geschäftlichen Praktiken schützen soll (vergl. § 1 UWG) ist der Schutzzweck der DSGVO die Wahrung Grundrechte und Grundfreiheiten der natürlichen Personen, insbesondere das Recht auf informationelle Selbstbestimmung (vergl. Art. 1 DSGVO). Damit schützt die DSGVO die Individualrechte der Einzelnen und wird hierbei durch die Aufsichtsbehörden unterstützt, während der Wettbewerber in der Regel zur Durchsetzung seiner Ansprüche auf private Initiative angewiesen ist. Demnach gehen sowohl Herr Penibel als auch Herr Abmahnus aus unseren obigen Beispielen leer aus. Herr Penibel kann seinen Anspruch nicht auf die Vorschriften des Wettbewerbsrechts stützen, da er kein Wettbewerber ist. Herr Abmahnus kann sich nicht auf die Vorschriften der DSGVO stützen, da diese keine wettbewerbsrechtliche Wirkung entfalten. Selbstverständlich bleibt es Herrn Abmahnus unbenommen, bei der Aufsichtsbehörde Beschwerde einzulegen, etwa weil seine personenbezogenen Daten nicht korrekt verarbeitet wurden. Die Erstattung von Abmahngebühren und eine Vertragsstrafe erhält er jedoch nicht.

Eben so wenig wie einzelne Verbraucher sich also bei Wettbewerbsverstößen auf § 3a UWG berufen können, können Dritte als Wettbewerber bei Datenschutzverletzungen gegenüber Betroffenen die fehlende Umsetzung der DSGVO abmahnen.

Konsequenterweise empfiehlt Prof. Dr. Köhler den deutschen Gerichten, in Fällen von Abmahnungen der Webseiten durch Wettbewerber bei der Prüfung der Zulässigkeit, nämlich der Klagebefugnis, den Klägern eine Absage zu erteilen und die Klage bereits aus diesem Grund abzuweisen.

Wir hoffen sehr, dass die Gerichte dieser Aufforderung nachkommen werden.

C. Lürmann

Rechtsanwältin

Consultant Datenschutz

Mit ihren Firmenwebseiten treten Unternehmen nach außen in Erscheinung, so dass diese ganz leicht Gegenstand sowohl von Prüfaktionen der Aufsichtsbehörden sein können, als auch von Kriminellen, die bekannte Sicherheitslücken ausnutzen.

Daher sollten Unternehmen im Impressum und der Datenschutzerklärung ihren Informationspflichten gegenüber den Webseitenbesuchern vollständig nachkommen, und Cookies sowie Trackingsoftware nur derart einsetzen, dass Rückschlüsse auf Webseitenbesucher nicht möglich sind.

Des Weiteren sollte dringend geprüft werden, ob die eingesetzten Webanwendungen abgesichert sind (Stichwort: HTTPS, HSTS, Secure-Cookie-Flag, Secure Coding Guideline usw.) und eine Verwundbarkeit der Webseiten durch Sicherheitslücken ausgeschlossen werden kann. Hintergrund ist, dass viele Webseiten heutzutage mit Content Management Systemen erstellt werden, die anfällig für Schwachstellen sind. Diese Schwachstellen ermöglichen es Angreifern, im schlimmsten Fall Datenbanken auszulesen, Schadcode auf der Webseite einzuschleusen oder gar die gesamte Anwendung, inklusive des Backends (CMS) zu kompromittieren. Um über derart anfällige Webserver bzw. Webseiten bspw. Zugangsdaten von Anwendern abzugreifen, ist unter Umständen auch schon ein unautorisierter Zugriff von außen ausreichend.

Ein großes Problem dabei sind häufig externe Plugins, die oftmals zahlreich in den CMS eingebunden werden können, um Webseiten entsprechend besser und mit mehr Funktionsumfang auszustatten. Ein Verzicht auf solche Plugins macht dann auch nicht nur aus Gründen der Datensicherheit Sinn, sondern auch in datenschutzrechtlicher Hinsicht; denn v.a. über Drittanbieter-Plugins werden oftmals allein durch deren Einbettung auch personenbezogene Daten (u.a. vollständige IP-Adresse, Klarnamen oder E-Mail-Adressen) an Dritte übermittelt, ohne die Einwilligung der betroffenen Webseitenbesucher eingeholt zu haben. Der Empfängerkreis erweitert sich, wenn Kriminelle solche Schwachstellen ausnutzen und dann ebenso Zugriff auf Daten erhalten.

An der Stelle sei nochmals darauf hingewiesen, dass solche Datenschutzverletzungen ab dem 25.05.2018 zukünftig innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden müssen.

Daher empfiehlt es sich, durch ein geeignetes Patch-Management alle Sicherheitslücken in dem verwendeten Content Management System zu schließen und über Penetrationstests die Wirksamkeit der getroffenen Sicherheitsmaßnahmen zu überprüfen.

Christopher Schöndube
IT Security Consultant, Penetrationstester

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Am 22.08.2017 hatten wir über die bekannt gewordene Datenschutzverletzung der Berliner Verkehrsbetriebe (BVG) berichtet.

Mittlerweile hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit in einer Prüfaktion bei der BVG herausgefunden, dass dem leitenden Angestellten Zugangsrechte für ein Laufwerk eingerichtet wurden, das nicht nur vom Personalrat, sondern ebenso von der Schwerbehindertenvertretung sowie der Frauenbeauftragten genutzt wird, und auf welchem sich auch Dateien befanden, die besondere Kategorien personenbezogener Daten enthielten. Der Führungskraft waren damit Zugriffe auf die dort liegenden Unterlagen möglich, wobei mindestens ein Dokument auch „geöffnet, angesehen und ausgedruckt“ worden sein soll (die Pressemitteilung ist abrufbar unter https://datenschutz-berlin.de/content/nachrichten/pressemitteilungen).

Die Aufsichtsbehörde stellte des Weiteren fest, dass nicht nur ein unbeabsichtigter Fehler der IT-Abteilung bei der Einrichtung der Berechtigungen, sondern „erhebliche Mängel in der Datenschutzorganisation“ zu der Datenschutzverletzung geführt hätten. Neben mangelnder Maßnahmen zur Trennungskontrolle, gebe es keinen ausreichend definierten Prozess, nach welchem Berechtigungen dokumentiert vergeben werden. Auch die zum Zwecke der Datenschutzkontrolle notwendigen Protokollierungen, um Zugänge zum Laufwerk sowie Zugriffe auf die dort enthaltenen Dateien aufzuzeichnen, wurden nicht vorgenommen. Zudem sei die BVG auch ihren Melde- und Benachrichtigungspflichten nach Bekanntwerden der Datenschutzverletzung nicht unverzüglich nachgekommen.

Richtigerweise betont die Aufsichtsbehörde in ihrer Pressemitteilung, dass die BVG kein Einzelfall sei, sondern viele Unternehmen immer noch zu wenig für den Schutz personenbezogener Daten, für die sie verantwortlich sind, täten. Diese sollten sich bewusst sein, dass ab dem 25.05.2018 hierfür Bußgelder in Höhe von bis zu 10.000.000 Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Am Freitag der vergangenen Woche hat die Gewerkschaft Verdi den Berliner Verkehrsbetrieben (BVG) vorgeworfen, sich Dateien der Personalvertretung nicht nur zugänglich gemacht, sondern diese dann auch genutzt zu haben.

Einem leitenden Angestellten sollen Zugangsrechte für Laufwerke eingerichtet worden sein, die von den Personalräten für ihre Aufgaben genutzt werden und auf welchen zahlreiche Dokumente, u.a. mit sensiblen Beschäftigtendaten, zu finden gewesen sind.

Die Pressestelle der BVG dementiert eine vorsätzliche Handlung; es soll sich vielmehr um einen unbeabsichtigten Fehler der IT-Abteilung bei der Einrichtung der Berechtigungen gehandelt haben. Dieser Fehler wurde 14 Tage später bekannt, woraufhin die Zugangsrechte umgehend wieder entzogen wurden. Einsicht sei in die dort gespeicherten Dateien nicht genommen worden.

Dieser Darstellung des Vorfalls als einen bloßen IT-Fehler, folgt Verdi nicht. Im Gegenteil, es wird von der Gewerkschaft sogar die Erstattung einer Strafanzeige gegen die BVG geprüft.

Zumindest kann man hier wohl eine Datenschutzverletzung i.S.v. Art. 4 Nr. 12 Datenschutzgrundverordnung (DSGVO) annehmen, da personenbezogene Daten unbefugt offengelegt wurden; hierbei ist es unerheblich, ob dies fahrlässig oder vorsätzlich geschah oder ob der leitende Angestellte, dem die Daten angeblich offengelegt wurden, tatsächlich Einsicht genommen hat oder nicht. Daher bedarf es auf jeden Fall der Verbesserung der Datensicherheit, damit ein solcher Vorfall sich nicht wiederholt.

Sofern es sich tatsächlich um eine absichtliche Zugangs- und Zugriffsbeschaffung durch die BVG handelt, wäre dies allerdings eine schwerwiegende Datenschutzverletzung.

 

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Gemäß Art. 33 und 34 Datenschutzgrundverordnung (DSGVO) ist ein Unternehmen verpflichtet, eingetretene Datenschutzverletzungen (z.B. Liegenlassen des Notebooks im Zug, E-Mail-Versand an falschen Empfänger, Hacker-Angriffe) der Aufsichtsbehörde unverzüglich zu melden und ggf. die Personen, deren personenbezogene Daten hiervon betroffen sind, zu benachrichtigen. Ein Verstoß gegen diese Melde- und Benachrichtigungspflichten ist bußgeldbewehrt.

Die Regelungen in Art. 33 und 34 DSGVO sind dabei strenger als die bisherige Regelung in § 42a BDSG, die lediglich eine Meldepflicht vorsah, wenn durch die Datenpanne besonders sensible Daten (z.B. Gesundheitsdaten oder Bankdaten) Dritten zur Kenntnis gelangt sind und den betroffenen Personen dadurch schwerwiegende Beeinträchtigungen drohen.

Mit der Datenschutzgrundverordnung muss der Verantwortliche nämlich nun jede Datenschutzverletzung der Aufsichtsbehörde melden, unabhängig davon ob die Datenschutzverletzung fahrlässig oder vorsätzlich herbeigeführt wurde oder ob dabei Unbefugten tatsächlich personenbezogene Daten offengelegt wurden oder ein Zugang zu personenbezogenen Daten nur eventuell ermöglicht wurde.

Die Meldung muss dabei unverzüglich und innerhalb von 72 Stunden erfolgen. Eine Meldung darf nur dann unterbleiben, wenn der Verantwortliche nachweisen kann, dass die betroffenen Personen durch die Datenschutzverletzung gegenwärtig und zukünftig keinen physischen, materiellen oder immateriellen Schaden (z.B. Identitätsdiebstahl oder -betrug, finanzielle Verluste, Diskriminierung, Rufschädigung) erleiden werden.

Es empfiehlt sich daher, einen entsprechenden Ablaufplan im Unternehmen zu implementieren, um auf solche Datenschutzverletzungen unverzüglich reagieren und die Fristen zur Meldung bzw. Benachrichtigung einhalten zu können.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

2 AZR 342/20 20 Mitarbeiter 20.04.2021 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absenderinformationen irreführend Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD ähnliche Betrugsmaschen Airbnb amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Anschein Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit Anwesenheitskontrolle AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsagentur Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsschutzverordnung Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit ArbGG Art 6 und 9 DSGVO Art. 13 DSGVO Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 28 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen Ausländerbehörde auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG Bankkonto Base64 Decodierer BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Berufsgeheimnis Beschäftigte Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten Betreff passt nicht betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher Datenschutzbeauftrage betrieblicher Datenschutzbeauftragter betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsratsvorsitzende Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte Betrüger Betrugsmasche BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrecht Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldverfahren BVG C-311/18 Callcenter Caller ID Spoofing Cambridge Analytics Captcha-Funktion CEO-Fraud Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Corona Testangebot Coronavirus Corporate Design COVID-19 COVID-19-Hilfen CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenklau Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Keule Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverordnung Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentranfer in Drittstaaten Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Dispokredit Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten Drohung DSAnpUG-EU DSDVO DSFA DSG DSGVO DSGVOÜberwachungstool DSK DSV DSVGO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen E-Mail-Kommunikation e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB eDSB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eigenes Unternehmen Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot erhöhter Kundenkontakt Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR Exchange-Servern externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Falschmeldung Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback fehlende TOM Fehler Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Fingerabdrucksystem Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Fotos auf der Webseite ohne die Einwilligung Framework freiwillig Frist Fristbeginn fristlose Kündigung Führungsperson Funkmäuse Funktastaturen Fürsorgepflicht GCP GDPR Geburtsdaten gefährdet gefälscht Email Gehaltsvorstellung Geheimhaltung Geldbörse Geldbußen Geldstrafe Geldsumme Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen gesundheitsbedingten Abwesenheit Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics Google IAP GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff Hackerangriff auf Microsoft Exchange-Server hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hilfestellung Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Identitätsdiebstahl Immobilienmakler Incident Response Incident Response Modus Infektionsrisiko Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter INPS Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität Interessenkonflikt internationaler Datentranfer interne Informationen interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Abteilung IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz konkrete Handlung Kontaktaufnahme trotz Löschungsverfahren Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperation mit der Aufsichtsbehörde Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Landgericht Berlin Laptop Lazarus Leads Work Limited Lebensweise Lehrer Leistungs- und Verhaltenskontrolle Leitungspersonen LfD LfDI Baden-Württemberg LfDI BW Like-Button Link geklickt Link klicken Link öffnen LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschungsverfahren Löschverlangen Lösegeld Machtposition Mail Makler Malware Mängel Manipulation eines Request Manipulation eines Requests Manipulation von Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldevorhaben Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mieterdaten Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung Nationale Institut für Sicherheit Nationale Schule für Justiz natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer organisatorische Absicherung Original oder Betrug Österreich Pandemie Pandemiebekämpfung Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Persönlichkeitsverletzung Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phishing-Mail Phishingmail Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Powershell-Skript PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht am eigenen Bild Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung Rechtschreibung fehlerhaft rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadensersatzanspruch Schadprogramm Schadsoftware Schmerzensgeld Schnelltest Schrems II Schufa Schüler Schulung Schulungsplattform Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstelle in Google Cloud Plattform Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Self-XSS Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherheitswarnung des BSI Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Media Inhalt Social Plugin sofort Handeln Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Strafen Straftaten Strafverfolgung Stresssituation Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Tathandlung Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische Absicherung Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefax Telefonanruf Telefonat Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Testangebot Testpflicht Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportkontrolle Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Überweisung ins Ausland überzogen Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account unterlassen Sicherungsmaßnahme Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmensnetzwerk Unternehmenssprache unverschlüsselt unverschlüsselter E-Mail Anhang Unwirksamkeit unzulässig Update Urlaub Urteil Urteil BAG 27.04.2021 - 2 AZR 342/20 US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitung von Mieterdaten Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren Verfahren C-311/18 Vergessenwerden Verhaltensweise Verkaufsraum Verlängerung Verletzung der Meldepflicht verloren Verlust Vermieter Vermietung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Vertrauen Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Videoüberwachung der Beschäftigten Virtual Private Network Virus Vishing Vodafone Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weiterleitung E-Mail Weltanschauung Werbe SMS ohne Einwilligung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung Xing XSS Youtube Zahlungsverkehr Kontrollmechanismen Zeitdruck Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugang zu Daten Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 26 Bundesdatenschutzgesetz § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31